Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Средства контроля (анализа) исходных текстов программного обеспечения - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Средства контроля (анализа) исходных текстов программного обеспечения

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: WORM, MK | 71338 26.04.2017 17:31
SewenKlan,
ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

Автор: SewenKlan, АйЭсТи | 71535 27.04.2017 08:19
Где можно посмотреть этот перечень? Каким документом (или письмом) отменили 541?

Автор: WORM, MK | 71536 27.04.2017 09:35
А сайт ФСТЭК самостоятельно не пробовали искать?

http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/438-perechen-utverzhden-direktorom-fstek-rossii-3-aprelya-2012-g

И причем здесь ПП-541?

Прошел месяц

Автор: Влад | 72353 31.05.2017 09:31
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
А причём тут Перечень, если есть чёткое требование ПП от 15 июня 2016 года N 541, которое никто не отменял:

>>в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
....
....

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Так нужно ли иметь в наличии средство контроля (анализа) исходных текстов ПО или нет? Узнавал ли кто-нибудь в ФСТЭК?

Прошел год

Автор: Никита, Завод | 94188 04.06.2018 10:21
+ Владу, вопрос животрепещущий.

Прошел месяц

Автор: StiON | 96084 03.07.2018 10:32
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода.
А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31:

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом.

Автор: StiON | 96085 03.07.2018 10:32
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода.
А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31:

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом.

Автор: WORM, MK | 96086 03.07.2018 10:50
to StiON,

Я дал ссылку именно на тот перечень. Почитайте начало ветки и вы все поймете. Не надо додумывать, просто почитайте что пишет топикстартер.

Прошло около недели

Автор: StiON | 96876 11.07.2018 13:31
to WORM,
А я и не додумывал - прочитал ветку сначала, прочитал сообщение топикстартера. Цитирую:

>>3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется?
Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ.

Т.е. топикстартер задавал вопрос не только про использование анализатора исходных кодов в части лицензирования ТЗКИ, но и в части лицензирования на разработку и производство СЗКИ.

Ну и опять же Влад в сообщении выше прав: в перечне для ТЗКИ анализатор кода отсутствует, но зато он присутствует в тексте самого Положения о лицензировании ТЗКИ (Положение, утвержденное ПП № 79, подпункт "в" пункта 5):

"в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
...
программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;..."

Все еще будете утверждать, что ФСТЭК передумал? Или скажете, что ФСТЭК то передумал, а Правительство не передумало?)

Автор: Влад | 96882 11.07.2018 14:14
Спасибо, что поддерживаете тему.

Действительно, до сих пор непонятно, уж мне точно, что именно нужно согласно требования ПП №171 в части наличия средств контроля (анализа) исходных текстов программного обеспечения.

Формулировка требования составлена отчасти неоднозначно, по-крайней мере для меня. Как я понимаю предложение:

1) средство контроля (анализа) исходных текстов программного обеспечения не должно быть обязательно сертифицированным;

2) судя по скобкам, между понятиями "контроль" и "анализ" нет разницы. Т.е. под анализом можно понимать контроль. Если это так, то проводить контроль исходных текстов ПО можно и с помощью программного средства подсчёта контрольных сумм исходного текста ПО. А таких средств, тем более, несертифицированных, довольно много. В ОС Windows и Linux, есть даже встроенные консольные программы для подсчёта контрольных сумм.

Хотелось бы почитать информационное письмо, разъяснение от ФСТЭК по данному поводу, но подобное я не нашёл. Направлять же официальный запрос в ФСТЭК, не хочется, т.к. спрашивать у регулятора как выполнять требование, уже имея лицензию, как-то странно и может повлечь неприятные последствия. Привлекать внимание, себе дороже.


Страницы: < 1 2

Просмотров темы: 3895

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.