но вопрос мой был не про это - а про реализацию мер по защите информации. Получается можно на коленке сделать простенькую СУБД - без каких-либо функций, описанных в 15408 или Приказах 17 и 21 - описать в документации мол ничего не защищаем, но вот вам ТУ  и остальная документация на данное СЗИ типа СУБД. И вперед на сертификацию - все должно получиться? Они будут проверять все, вплоть до соблюдения ГОСТ 56939, но ни одной функции защиты нет, но все равно можно получить сертификат на соответствие данного якобы СЗИ уровню доверия и требованиям ТУ (своих собственных)

Так вроде реестр СЗИ называется, что туда все подряд включать?

Кстати, а кому такой сертификат может понадобится?

Зачем кому-то СУБД без функции сзи? И не реализующая ни одну меру защиты?

Не проще и вовсе без сертификата в таком случае взять?

а зачем СУБД функции СЗИ? СУБД должна базу ворочать

Вы опять рассказываете какой-то кусок функционала.
Никто никогда не пишет в нормативке про тонкие клиенты или что-там еще.
У вас (или еще-то у кого) наверное реализована какая-то процедура подписи.
Её для начала и нужно изложить. Далее, указываете свою техническую реализацию, причем, желательно без косяков.
Например, нормальный рутокен (который по хорошему и надо использовать) работает с неизвлекаемым ключом и все процессы подписания/шифрования должны проходить внутри токена.
Кроме-того, вся инфраструктура принадлежит одному юрлицу? Если нет, то лучше сразу идти к юристам.

а сертификат как способ выделиться например - из толпы поделок эта с сертификатом - да еще отечественная

в общем формализм победил

А зачем ей в таком случае вообще сертификат? Что он должен подтверждать?

ничего, только формально может пригодиться, если заказчик не простой и не простые системы строит

вот делает заказчик ИСПДн - она у него будет защищена, но СУБД то ему тоже нужна =) авось выберет ту что с сертификатом (а без он вобще может выбрать? Может в СУБД без сертификата НДВ полно

только что описал - для формального пролезания в ИСПДн и прочие ГИС например

а где написано что СУБД должна такое уметь? Профиля защиты нет же

не знаю, а на каком основании? В этом и был вопрос - если нет профиля защиты на данный тип СЗИ - значит может и не быть функций защиты - только формальные документы и првоерка НДВ и безопасного произвосдтва (если серийное - ибо цель - для реализации)

1. Сертифицированных СУБД полно. Вы в курсе про реестр средств?
2. Вы исходите из позиции,  что ФСТЭК вам будет идти на встречу? Так у ФСТЭК нет прибыли,  есть только госфункции. Так что это Вам надо будет убеждать ФСТЭК,  что ваша балалайка- вполне себе средство защиты,  показав в чем конкретно это выражается,  а то будете отклонены на этапе подаче заявки.
3. Во ФСТЭК Вы идете вместо с ИЛкой. Можно считать,  что те за вас получатся,  что ваша СУБД хороша. Т.к. потом с ИЛки ФСТЭК спросит за ваше средство.
4. А сколько с Вас ИЛка срубит не приценялись? ИЛок меньше и меньше - исполнитель дефицитный.
5. Вы у себя систему менеджмента уязвимостей Вашей балалайки не забудьте организовать - тоже денег стоит.
6. Год времени и еще надо кучу доков заявителя
7. Оно таки Вам надо?

я не сказал что хочу так сделать - я удивился что вобще в теории это возможно. И кроме как что это не понравится ФСТЭК я пока не увидел формально почему это может не сработать. Хотя и вариант про не понравится ФСТЭК звучит достаточно реалистично (хоть формально и не очень законно)

так я и спрашиваю, а где написано, что надо?

Инфраструктура принадлежит одному Юрлицу.
Пользователь  на своём рабочем месте используя БТС ( бездисковую терминальную станцию ) с Рутокеном( на котором записана его личная ЭЦП)  подключается к терминальному серверу , в рамках данного подключения Рутокен с ключевой информацией перенаправляется   в сессию пользователя ,  там же пользователь  запускает приложение , которое используя СКЗИ ( крипто про например ) и ключевую информацию ( записанную на Рутокен пользователя ) подписывает документ.

Ну а чуть-чуть самому посчитать?  Реестр.  Эксель.  Статистика по направлению СИ.  Всё же просто