Информационное сообщение Федеральной службы по техническому и экспортному контролю от 13.01.2025 № 240/24/38 «О повышении безопасности средств защиты информации, в состав которых разработчики включают средства контейнеризации или образы контейнеров»
Ссылки
Обзоры документа
Аналитический центр УЦСБ
На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 13.01.2025 № 240/24/38 «О повышении безопасности средств защиты информации (далее – СрЗИ), в состав которых разработчики включают средства контейнеризации или образы контейнеров».
В целях повышения безопасности СрЗИ в контейнерном исполнении изготовителям при разработке и сертификации необходимо:
- использовать сертифицированное средство контейнеризации, если оно не входит в состав СрЗИ и используется в качестве среды его функционирования;
- провести инвентаризацию образов контейнеров, входящих в СрЗИ, а также ПО из состава образов контейнеров. Перечень образов контейнеров должен быть приведен в проектной документации;
- обеспечить контроль целостности образов контейнеров и исполняемых файлов, осуществляется средством самостоятельно, с использованием средства контейнеризации или сертифицированного средства контроля целостности;
- обеспечить совместимость ПО, входящего в состав образов контейнеров, с хостовыми операционными системами (далее – ОС), указанными в эксплуатационной документации в качестве среды функционирования;
- обеспечить запуск контейнеров с полномочиями, минимально необходимыми для функционирования СрЗИ;
- обеспечить управление доступом между компонентами СрЗИ (контейнерами, микросервисами, иными ресурсами), компонентами среды функционирования, внешними по отношению к средству компонентами в соответствии с заданными разработчиком средства правилами. Правила доступа, содержащие разрешенный список действий, должны быть описаны в документации.
Текст документа
Быстрый просмотр сохранённой копии