Інформаційні системи з регуляторною прохідністю, гранулярним контролем доступу та незмінним журналом. Експертний висновок Держспецзв'язку рівня Г-3. Розробляється з 2015 року.
Softline IT відповідає за інженерію та впровадження. Softline Defense фокусується на захищених системах для державного сектору й критичної інфраструктури. UnityBaseDefense — платформа, на якій такі системи проєктуються та розгортаються.
Розробник і інтегратор корпоративних інформаційних систем для банків, державних установ і критичних секторів.
Практика захищених систем: регуляторна прохідність, threat modeling, інтеграція з КЗІ та супровід експертизи.
Технологічна база для систем з granular access control, audit trail, ДСТУ 4145 і розгортанням у закритих контурах.
Платформа важлива, але результат створює весь інженерний цикл: постановка задачі, архітектура, розробка, КСЗІ, експертиза та супровід запуску.
Визначаємо дані, ролі, обмеження доступу, інтеграції, нормативний режим і межі системи.
Проєктуємо модель прав, журналювання, криптографію, сегментацію та пакет документів для КСЗІ.
Будуємо прикладну систему на UBD, переносимо дані, інтегруємо ЦСК, AD/LDAP, СУБД і зовнішні сервіси.
Супроводжуємо перевірку, усунення зауважень, дослідну експлуатацію та перехід у штатний режим.
Чотири категорії проектів, які платформа адресує. Кожна — з референсною архітектурою, моделями загроз, mapping на нормативи.
Системи обробки документів з режимом обмеженого доступу. Резолюції, накази, узгодження з ЕЦП.
Архітектура → [ HR · ОХОРОННІ КОМПАНІЇ ]Персональний облік, штатно-посадовий облік, накази, звітність з гранулярним контролем доступу до полів.
Архітектура → [ КІІ ]Реєстри об'єктів критичної інфраструктури, обладнання, інцидентів. Категоризація за КМУ № 943, 518.
Архітектура → [ ШЛЮЗИ ]Контрольовані шлюзи обміну між контурами різного грифу. Зворотний інспекційний прохід усієї інформації.
Архітектура →Більшість платформ додають безпеку зверху на застосунок. UBD реалізує її всередині — з гранулярністю до поля запису.
Не периметральний ZTNA, не sidecar service mesh. Контроль доступу вбудований у ядро платформи, з повним контекстом запиту (хто · що · в якому стані).
Кожне звернення до даних обчислює право у момент запиту. Жодного клієнтського кешування довіри. Типова затримка авторизації у прикладному шарі — 5–30 мс.
Сервер застосувань не зберігає клієнтський стан. Перезавантаження не вимагає синхронізації сесій. L7 балансер без sticky sessions. 5–10 тис. активних користувачів на вузол, 50 тис.+ у кластері.
Право бачити запис не означає право бачити всі поля. Кадровий офіцер бачить фіо та посаду, але не адресу. Окремий допуск на кожне поле.
Підтримка українського ЕЦП за ДСТУ 4145 та міжнародних PKI через SSPI одночасно. Робота з засобами КЗІ, сертифікованими Держспецзв'язку.
Платформа має експертний висновок Адміністрації Держспецзв'язку з рівнем гарантій Г-3 за НД ТЗІ 2.5-004-99. Рівень Г-3 — найвищий у поточній шкалі, з повним аналізом архітектури, коду функцій безпеки, тестуванням на проникнення.
Висновок необхідний для систем, що обробляють службову інформацію, для об'єктів критичної інформаційної інфраструктури за Законом № 1882-IX, для систем органів державної влади. У міжнародному вимірі рівень Г-3 можна орієнтовно зіставляти з EAL 4 за ISO/IEC 15408 — це інженерний mapping, не формальне взаємне визнання.
Допоміжні матеріали для інженерів, які хочуть зрозуміти регуляторні фреймворки, термінологію та концепти дисципліни глибше.
Платформу розробляє ТОВ «Софтлайн ІТ» — компанія заснована у 1995 році. 30 років інженерії корпоративних інформаційних систем для українських банків, державних установ та цивільних критичних секторів.
UnityBaseDefense — результат конкретних інженерних висновків, зроблених у відповідь на події 2010-х: Stuxnet, викриття Сноудена, кібератаки на українську інфраструктуру 2015–2016. Постановка задачі формулювалася не у термінах «Zero Trust» (термін на той момент ще не набув широкого вжитку), а у термінах конкретних вимог: per-request authorization, незмінний журнал, інтеграція з українськими криптостандартами, можливість air-gapped розгортань.
Розглянемо вимоги, запропонуємо архітектуру, оцінимо регуляторну прохідність. Якщо UBD не підходить вашій задачі — чесно скажемо, що варто розглянути замість.
Обговорити проєкт →