19 янв. 2015 г.

Выпущены сертификаты ФСТЭК на Oracle Identity & Access Management, а также Oracle Fusion Middleware на платформе Exalogic

Short intro: here you can find info about FSTEK (Russian Authorities) certification news...

Наконец-то хорошие новости про сертификаты ФСТЭК - в конце прошлого года ФСТЭК России выдала сертификаты на средства защиты информации Oracle Identity & Access Management, а также на некоторые пакеты Oracle Fusion Middleware на платформе Exalogic. При беглом взгляде на сертификат сразу бросается в глаза, что серцифицировано ПО Oracle Identity Access Management Suite 11g, однако далее перечислен набор медиапаков, которые были в сертификации. К сожалению, медиапаки относятся к релизу Identity & Access Management 11gR2PS1 (11.1.2.1.0), которые заменены на 11gR2PS2 (11.1.2.2.0) поэтому не видны на стандартном Edelivery.oracle.com.

Однако (спасибо Андрею Гусакову!) удалось найти таблицу, скриншлот которой приведен под катом.






Кроме того, Андрей подготовил хорошую статью со сканами сертификатов, информацией по сертификации ПО Oracle Fusion Middleware, а также сводную таблицей сертификатов:

http://security-orcl.blogspot.ru/2015/01/blog-post.html

"Расшифровка сути содержимого сертификата №3295 сроком действия до 9 декабря 2017 года дает следующую информацию - пакеты Oracle Identity and Access Management версии 11g R2 PS1 (11.1.2.1.0) [основной медиа-пак V37472, Entitlements Server Security Module V37473, Unified Directory V37478, диск с Bundle Patch и критическими обновлениями] прошли проверку на соответствие требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 3 классу защищенности и «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 2 уровню контроля. Другими словами - могут использоваться в качестве средств защиты информационных систем высокого уровня, обеспечивая экстернализацию (замену) сервисов безопасности, обычно встроенных в используемые заказчиком приложения. "

п.с. от себя добавлю, что, несмотря на то, в тексте сертификата указано ПО "Oracle Identity Access Management Suite", тем не менее вы можете использовать пакеты с сертифицированным ПО при лицензировании Oracle Identity Governance Suite и Oracle Access Management Suite.

2 комментария:

  1. Т.е. при приобретении только компонента Oracle Identity подразумевается сертификат регулятора?

    ОтветитьУдалить
    Ответы
    1. лучше приобретать Oracle Identity & Access management Suite, чтобы название лицензии совпадало с названием в сертификате

      Удалить