Контакты
Подписка
МЕНЮ
Контакты
Подписка

Astra Linux Special Edition - Форум по вопросам информационной безопасности

Astra Linux Special Edition - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >

Автор: Мимо | 67486 14.12.2016 15:50
Типичный ответ их ТП.
Спросите почему тогда об этом ничего нет в формуляре на версию РУСБ.10015-01 под ФСТЭК ??

Автор: oko | 67491 14.12.2016 22:26
to Александр
Тов. Мимо верно говорит. Либо отметка в формуляре, либо официальное представление вам ТУ на Астру (не выдадут скорее всего), в которых это (необходимость МДЗ) явно указано. Если ни того, ни другого - никакого нарушения нет...
С другой стороны, есть еще ГОСТ по аттестации с его двоякой трактовкой доверенной загрузки. С материалами, которые ФСТЭК сейчас органам по аттестации написал, необходимыми для проведения аттестации я лично еще не успел ознакомиться. Но что-то мне подсказывает, что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :). Впрочем, это тоже не решает проблему из-за специфической трактовки ГОСТ в части проверки доверенной загрузки...
А так, да, ждем новый "букварь", который по-идее должен поставить точку в вопросе доверенной загрузки в ГТ...

ЗЫ imho, разработчики Астры попросту хотят впарить хоть кому-нибудь свой Максим-М1. Не ведитесь, даже если МДЗ будет в итоге обязателен к установке...

Автор: Иван | 67676 17.12.2016 10:05
В ГОСТе по типовым программам и методикам есть пункт о том что должна выполняться невозможность загрузки с устройств не предусмотренных технологией инициализации АС. И это по моему мнению и приводит к необходимости использования МДЗ

Автор: sekira | 67677 17.12.2016 13:39
"что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :)."

это просто список того что должно быть, это не значит что Аттестация ОИ должна проводится в соответствии с требованиями приведенными в этих двух Гостах по аттестации.

Еще раз в ГОСТах нет требовавний к ОИ есть требования как их аттестовать, в приложениях рекомендуемая (даже в трактовке ГОСта форма).
Узаконен может ГОСТ быть в требованиях к ОИ в любом виде!

А так, да, ждем новый "букварь"
Золотые слова...

Автор: sekira | 67678 17.12.2016 13:41
то Иван...

"В ГОСТе по типовым программам и методикам " есть требования к ОИ?


Автор: oko | 67680 17.12.2016 18:38
to sekira
В упомянутом ГОСТ есть пункт про обязательность оной проверки во время аттестационных испытаний. И про то, что блокирование функций во время проверки - удел СЗИ. И, если читать формально, то СЗИ - это либо орг.+тех.меры, либо только технический сертифицированный элемент (у нас же все элементы должны быть сертифицированы под ГТ, ага). Т.е. отмазки аля "настройки BIOS + пароль" уже не катят. В противном случае - положительного заключения по результатам аттестационных испытаний выдать нельзя...
Впрочем, никто и явно этого не указывал - на том до выхода "букваря" и держимся.

to Иван
Советую ГОСТ детально не цитировать. А то форум под ДСП придется "положить" :)

Автор: sekira | 67681 17.12.2016 19:00
Еще раз.
ГОСТ не требования к ОИ, а порядок проверки требований. И ГОСТ необязателен для лицензиатов и органов, поэтому ждем новый "букварь".

Автор: oko | 67682 17.12.2016 19:53
to sekira
Еще раз. Два вопроса.
1. Как можно "проверять требования", если самих "требований" нет?
2. Для кого же тогда обязательны ГОСТ по аттестации (оба два)?
*в сторону* чисто для проформы. С моей точки зрения ГОСТ сделаны грамотно и обязательны, ибо это ГОСТ. А требования к той же ДЗ вне зависимости от их явного утверждения должны предъявляться при аттестации. Иначе вся эта чехарда не имеет смысла...

Автор: sekira | 67683 18.12.2016 07:11
1. Никак. Но это не значит что они появились здесь.
2. Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе.

тоже в сторону....
С моей точки зрения все должно быть четко и логично. Напишите как регулятор хоть где (пример как это сделано это 17 приказе или НМД в части техканалов по ГТ) для аттестации ОИ применяем такие то ГОСТы и все.

А так получается "Иначе вся эта чехарда не имеет смысла..."

Автор: oko | 67686 18.12.2016 23:40
to sekira
Шутку оценил, смешно. С одной стороны, регулятору это не выгодно - куда проще *ать незнающий народ за несоблюдение правил, которые либо не утверждены, либо закрыты семью печатями (привет, "другой" регулятор!). С другой стороны, регулятор тогда должен, вестимо, издать глобальный документ на все случаи жизни, в котором помимо правил на все существующие объекты будут также правила и на все потенциально возможные случаи...
Кстати, ГОСТ на уровне обязаловки вроде как Правительство должно утверждать, а не регулятор. Регулятор как раз свою работу исполнил в достаточной мере. И имеет полное право требовать исполнения оных ГОСТ во время аттестации - не зря же разработаны были. Просто волокита бюрократии велика - как с тем же 17 Приказом (или НДВ из ПП 1119). Сколько лет прошло, а все равно народ считает, что ГИС - только те ИС, что в перечни попадают. Впрочем, надеюсь, вскоре этот вопрос будет закрыт уже на уровне ПП РФ. А оттуда и до ГОСТ недалеко. Прикол в том, что грамотно будет начать исполнение уже сейчас, не дожидаясь отмашек. Во всяком случае, когда исполнение не идет во вред...

Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >

Просмотров темы: 65839

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*