FedRAMP сертификация

major Major Major Major · Чт ноя 08, 2018 11:39 am

Свалилась на нашу голову. Кто нибудь имел дело? В плане сертификации софта, не железа/сетей/датацентра? Какого булшита ждать и насколько отличается от ISO XXX?

Ir4 · Сообщение **Ir4** » Чт ноя 08, 2018 12:19 pm

Мы только что прошли. Много фана. Смотря что сертифицируете. Я была за ДБ ответственна. Там много чего надо. И очень внимательно смотреть чтобы все точно соответствовало стандартам. Например - если база использует енкрипшн - (а он обязателен!) - то метод должен быть сертифицирован официально - надо смотреть на fips и nist сайтах. Потом - по базам - есть CIS доки - на их же сайте - тоже надо все точно делать, а потом чтобы секюрити скан был весь "зеленый". Если что "красное" - то либо фиксить, либо заполнять спец. форму - почему не...

major Major Major Major · Чт ноя 08, 2018 3:51 pm

Ну шифрование в DB у нас делается как положено - средствами самой DB, я не любитель изобретать велосипед, так что это то же инфраструктура, на это у нас есть другие люди.

А по процессу разработки там есть вопросы? Я проходил iso 27001 там были вопросы по SDLC

АццкоМото · Чт ноя 08, 2018 3:59 pm

major Major Major Major писал(а): Чт ноя 08, 2018 3:51 pm Ну шифрование в DB у нас делается как положено - средствами самой DB, я не любитель изобретать велосипед, так что это то же инфраструктура, на это у нас есть другие люди.

А по процессу разработки там есть вопросы? Я проходил iso 27001 там были вопросы по SDLC

Есть много стандартов. Например FIPS 140-2. И стандартное шифрование может тупо не прокатить. А могут быть еще и законы типа шифрования даты рождения несовершеннолетнего. И там есть свои нюансы. Все зависит

major Major Major Major · Чт ноя 08, 2018 4:22 pm

АццкоМото писал(а): Чт ноя 08, 2018 3:59 pm Есть много стандартов. Например FIPS 140-2. И стандартное шифрование может тупо не прокатить. А могут быть еще и законы типа шифрования даты рождения несовершеннолетнего. И там есть свои нюансы. Все зависит

Ну я как бы в курсе нистовых стандартов немного

SQL Server или Оракл к примеру конфигурятся для фипса 140-2, родными механизмами. Про шифрование даты рождения несовершеннолетнего как специальный стандарт не слышал. Имел дело с S-O и PCI, там то же все встроенное работает.

АццкоМото · Чт ноя 08, 2018 4:50 pm

major Major Major Major писал(а): Чт ноя 08, 2018 4:22 pm
АццкоМото писал(а): Чт ноя 08, 2018 3:59 pm Есть много стандартов. Например FIPS 140-2. И стандартное шифрование может тупо не прокатить. А могут быть еще и законы типа шифрования даты рождения несовершеннолетнего. И там есть свои нюансы. Все зависит
Ну я как бы в курсе нистовых стандартов немного SQL Server или Оракл к примеру конфигурятся для фипса 140-2, родными механизмами. Про шифрование даты рождения несовершеннолетнего как специальный стандарт не слышал. Имел дело с S-O и PCI, там то же все встроенное работает.

Дата рождения не может быть сохранена даже на сервере без шифрования. Шифрование добавляется даже к SSL, что полный идиотизм. Я не юрист, не знаю, в чем дело

Если слово за слово - я в БД не шарю от слова "совсем". Там какой уровень фипс 140-2 можно достичь?

major Major Major Major · Чт ноя 08, 2018 5:08 pm

АццкоМото писал(а): Чт ноя 08, 2018 4:50 pm Дата рождения не может быть сохранена даже на сервере без шифрования. Шифрование добавляется даже к SSL, что полный идиотизм. Я не юрист, не знаю, в чем дело

Если слово за слово - я в БД не шарю от слова "совсем". Там какой уровень фипс 140-2 можно достичь?

Ну любая PII для GDPR фактически требует encryption at rest. С требованием шифровать дополнительно к SSL не сталкивался, про требования подкрутить SSL/TLS как надо слышал.

По-моему 3. Посмотрел, 4 это уже железо, так что 3. У SQL Server включается TDE, это прозрачное шифрование. Тебе как девелоперу ничего менять не надо, шифруется налету. Лучше чем на закриптованные диски базы класть, получается быстрее ну и можно включать избирательно, потери на шифровку меньше.

АццкоМото · Чт ноя 08, 2018 5:18 pm

major Major Major Major писал(а): Чт ноя 08, 2018 5:08 pm
АццкоМото писал(а): Чт ноя 08, 2018 4:50 pm Дата рождения не может быть сохранена даже на сервере без шифрования. Шифрование добавляется даже к SSL, что полный идиотизм. Я не юрист, не знаю, в чем дело

Если слово за слово - я в БД не шарю от слова "совсем". Там какой уровень фипс 140-2 можно достичь?
Ну любая PII для GDPR фактически требует encryption at rest. С требованием шифровать дополнительно к SSL не сталкивался, про требования подкрутить SSL/TLS как надо слышал.

По-моему 3. Посмотрел, 4 это уже железо, так что 3. У SQL Server включается TDE, это прозрачное шифрование. Тебе как девелоперу ничего менять не надо, шифруется налету. Лучше чем на закриптованные диски базы класть, получается быстрее ну и можно включать избирательно, потери на шифровку меньше.

Уровень 3 это круто!

А про шифрование поверх SSL я неясно выразился. Это чтобы когда оно пройдет через ССЛ и все ляжет в условно БД или куда еще, оно все равно оставалось зашифрованным. И только избранные могли расшифровать. Такой вот легальный идиотизм. Дисклеймер: я точно не знаю, требуется ли это законом или мы на воду дуем. Но какие-то законы по этому поводу точно есть.

Привет

FedRAMP сертификация

FedRAMP сертификация

Re: FedRAMP сертификация

Re: FedRAMP сертификация

Re: FedRAMP сертификация

Re: FedRAMP сертификация

Re: FedRAMP сертификация

Re: FedRAMP сертификация

Re: FedRAMP сертификация