Безопасность, отказоустойчивость и доступность OPA

Небольшая презентация на тему построения отказоустойчивых, безопасных и доступных приложений Oracle на примере Oracle Policy Automation.

OPA_HA_SEC

И сама презентация, размещенная на YouTube.

Oracle Linux для совершенно секретных данных

Продолжая тему безопасности продуктов Oracle, публикую несколько запоздалую (но никогда ведь не поздно исправиться?) новость о сертификации в ФСТЭК Oracle Enterprise Linux 5 (Update 5). По этому поводу даже прикреплю здесь сертификат.

В сертификате много мудреных слов, которые неискушенному человеку, как птичий язык, поэтому буду краток. На данной версии Linux-а можно обрабатывать персональные данные самой высокой категории и даже совершенно секретную информацию.

Что это значит и для чего может быть необходимо. С 13 февраля 2014 года можно поставить сервер, пригласить серьезных дядек, они его досконально проверят и опечатают. Не вижу ничего зазорного, если это будет и железо от Оракла. На это железо устанавливается сертифицированный как средство защиты информации Oracle Enterprise Linux, поверх сертифицированного Линукса устанавливается сертифицированная (сертификат N2858, действует до 2016 г.) СУБД Оракл и на этом уже можно содержать свои бизнес-приложения или бизнес-приложения от Oracle. Чтобы совсем все было кошерно и неприступно, и если это позволяет приложение, то усилить защиту можно сертифицированным (сертификат N2238, годен до 2016 г.) Oracle Identity Access Managemet Suite.

И немного пофантазируем и помечтаем, глядя на абзац выше. А пускай это будет не один сервер, а целый такой ЦОД? С проверенными и одобренными кем следует серверами, приложениями, и все это будет работать на сертифицированном Линуксе, сертифицированной СУБД и закрыто сертифицированными средствами безопасности Oracle?

А пока, пока вот такая фотокарточка. Номер еще не проставлен :-)

Сертифицированный ФСТЭК дистрибутив Oracle Enterprise Linux 5 Update 5

Безопасность бизнес-приложений Oracle на уровне СУБД

В качестве хранилища транзакционных и мета-данных, большинство бизнес-приложений Oracle используют СУБД Oracle Database.

В следующей презентации рассказывается про средства безопасности Oracle Database 12c. К сожалению, не всегда и не все из них могут быть использованы в том или ином бизнес-приложении Oracle. Однако, для общего представления, что сейчас есть из средств защиты и может быть применено для построения защищенной информационной системы на базе СУБД Оракл, начальных сведений будет вполне достаточно. Дальше полученную базу знаний уже можно развивать.

О подходах к безопасности на уровне СУБД Oracle Database 12c, рассказывает Николай Данюков, ведущий специалист Оракл СНГ и, по совместительству, кандидат технических наук. С Дядей Колей конечно приятнее и полезнее беседовать лично :-)

Мониторинг безопасности ERP Oracle E-Business Suite

ОГОВОРКА

Авторы:
Сергей Петренко, Андрей Беляев

Опубликовано в: Экспресс-Электроника N10/2003 (28 Декабрь 2003 г.)
Скопировано из: CitCity

Несмотря на постоянное развитие информационных технологий, практика обеспечения информационной безопасности в российских компаниях насыщена примерами инцидентов в этой области. Более того, число инцидентов неуклонно растет и начинает вызывать определенное беспокойство у начальников служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственных за организацию информационной безопасности ERP-систем в отечественных компаниях. Давайте посмотрим, какие возможности существуют для мониторинга безопасности ERP Oracle E-Business Suite.

Приведем классический вариант построения ERP Oracle E-Business Suite по схеме «база данных — сервер приложений — “тонкий” клиент». Три основных компонента этой системы соединены между собой с помощью сети передачи данных на основе TCP/IP (рис. 1). В этом случае браузер или какая-либо другая программа, выполняющая роль «тонкого» клиента, визуализирует так называемые маркированные данные (языки маркировки: HTML либо XML) для пользователей ERP Oracle E-Business Suite. Введенные пользователем запросы и команды передаются с помощью протокола HTTP через сеть передачи данных серверу приложений. Приложения ERP Oracle E-Business Suite исполняются как некоторые вычислительные процессы на сервере приложений и при необходимости осуществляют взаимодействие с сервером баз данных (в общем случае — распределенным).

Продолжить чтение

Приложения Oracle и защита персональных данных

eskiz В последнее время снова участились вопросы, связанные с приложениями Oracle и защитой хранимых в них персональных данных.

К сожалению, многие эксперты по защите информации не совсем верно представляют о чем идет речь и в большинстве случаев беседы сводятся к тому, что ВАШЕ ПРИЛОЖЕНИЕ ДОЛЖНО БЫТЬ СЕРТИФИЦИРОВАНО и готовы истово доказывать, что это так. Можно до бесконечности дискутировать на эту тему и спорить до потери пульса, но давайте постараемся спокойно и трезво разобраться с данным вопросом.

Основным регулятором, занимающимся сертификацией является ФСТЭК. Весьма полезной будет следующая ссылка на «Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации». Предлагаю прочитать внимательно, как данная ссылка озаглавлена! Реестр СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ!!! Уважаемые эксперты по безопасности, когда Вы консультируете своих работодателей и заказчиков Ваших услуг, принимайте пожалуйста к сведению, что ФСТЭК сертифицирует средства защиты информации (далее СЗИ), а не бизнес-системы. Бизнес-системы выполняют бизнес задачи, а средства защиты информации должны обеспечивать безопасную работу этих бизнес-систем. Для меня, по крайней мере, это звучит логично.

Резонный вопрос, который может возникнуть после ознакомления с Реестром ФСТЭК. Как же так? Вы говорите, что сертифицируют СЗИ, а вот в реестре есть информационные системы, прошедшие сертификацию. Да, это действительно так. Есть примеры того, что целые информационные системы сертифицированы как СЗИ. С одной стороны замечательно, но есть и другая сторона. Любое обновление и модификация подобной системы автоматически приводит к ситуации, когда требуется ее пересертификация. Я с большим трудом могу представить себе бизнес-систему, в логику которой не вносятся изменения, она не дополняется аналитическими отчетами, в ней не регистрируются новые объекты и т.д. Если ничего из перечисленного не требуется, то наверное да, можно целиком сертифицировать всю систему.

Опять же по закону ФЗ-152 от оператора персональных данных нигде не требуется сертифицировать свою систему, а лишь рекомендуется использовать СЗИ и СКЗИ.

До некоторого времени операторов пугали необходимостью аттестации информационной системы, то теперь и аттестация как таковая не требуется, а возможна проверка (в соответствии с Планом проведения плановых проверок и контроля обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, который составляется на каждый год и доступен на сайте ФСТЭК). Многие конторы, которые собирались поживиться на оказании «услуг» по аттестации приуныли, т.к. теперь их услуги не окажутся востребованы в полном объеме. Если проверка выявит несоответствие, то появится предписание с замечаниями, которые нужно устранить. В худшем случае, будет предписание и копеечный штраф. Кошмарить и мочить в сортире при этом никого не будут.

Итак. Возвращаемся к бизнес-приложениям компании Oracle. Все осталось неизменным. Oracle CIS продолжает работы по сертификации своих СЗИ. На сегодняшний день, в качестве средств защиты информации, которые могут быть использованы совместно со всеми основными бизнес-приложениями Oracle (E-Business Suite, Siebel CRM, JD Edwards, People Soft, Fusion Applications и т.д) и обеспечить выполнение закона ФЗ-152, сертифицированы ФСТЭК:

1) Oracle Database 11G — сертификат N1849, выдан до 25.05.2012 — обеспечение защиты ПДн до 2 класса включительно;

2) Oracle Identity Access Management Suite 11G — сертификат N2238, выдан до 23.12.2013 — обеспечение защиты ПДн до 1 класса включительно.

Oracle CIS также сертифицировал Oracle IRM и Oracle SSO, которые можно дополнительно использовать для защиты персональных данных.

Хотелось бы подчеркнуть тот факт, что архитектура большинства бизнес-приложений Oracle позволяет осуществлять встраивание сторонних средств защиты и криптозащиты информации, в том числе и Российских производителей. Примеры подобных реализаций уже имеются, как в государственном секторе, так и в коммерческом.

В очередной раз хотелось бы напомнить, что выполнение требований закона ФЗ-152 связано не только с техническими мерами в отношении информационных систем, но и требует выполнения некоторых организационных формальностей. Как минимум с сотрудниками организации следует заключить соглашение по обработке персональных данных, которое необходимо оформить либо в виде дополнения к трудовому договору, либо в качестве заявления/согласия на подобную обработку. Формулировка может быть любая. Проще всего вставить фразу,

«даю свое согласие на обработку моих персональных данных в необходимом объеме и в соответствии с федеральным законом 152-ФЗ«.

Либо подробно описывая, какие возможные действия будут производиться с персональными данными. Как например во фрагменте следующего заявления.

pdn1