Средства разработки ПО на аттестованном АРМ - Форум по вопросам информационной безопасности
Средства разработки ПО на аттестованном АРМ - Форум по вопросам информационной безопасности
| Автор: Разработчик ПО, По разработке ПО | 69717 | 16.03.2017 17:11 |
|
Вопрос к тем, кто задумывался или имеет опыт прохождения аттестации в данном вопросе.
Требуется проводить разработку ПО на аттестованном рабочем месте (в связи с тем, что алгоритм функционирования и структура данных является с грифом С или пометкой ДСП). Как легально установить средство разработки (IDE, компилятор) в обход требования РД АС по отсутствию средств разработки. Как вариант ответа вижу включение такого средства в паспорт и указание в аттестате соответствия запрета на изменение объектного и исполняемого кода СЗИ на данном АРМ? В похожей ветке нет ответа |
|
| Автор: WORM, MK | 69730 | 17.03.2017 11:36 |
|
Надо, чтобы по документам на АС проходило ее назначение и цель применения средств разработки ПО.
Т.е. сам Аттестат лучше назвать типа "Аттестат соответствия ...... на АС разработки ПО такого-то (или программных СЗИ). В техпаспорте то же. Возможность работы со средствами разработки желательно оговорить в аттестате. Очень важно подробно расписать порядок работы с этим ПО в Описании техпроцесса, чтобы было понятно зачем оно там и кто с ним работает. В Разрешительной системе указать кто и как получает доступ к данному ПО, роль админа в контроле его применения только в нужных целях. Т.е. нужно доказательная база того, что средства разработки там не случайно, А ДЛЯ РЕАЛИЗАЦИИ ТЕХПРОЦЕССА и достижения целей обработки инф-ции. Будете подавать заявку на лицензию - распишите в Справке-отчете (пояснительной записке) подробнее: зачем вам в АС средства разработки, кто и как с ними будет работать (а документами по аттестации это должно быть подтверждено). Насчет пометки ДСП подумайте, может ли она быть у вас. Не лучше ли "коммерч. тайна" (потому как ДСП может быть у госов и очень скоро ее будут защищать по 17-му приказу, тогда лучше 2 разных компа аттестовать: один под ГТ, другой под ДСП (по 17-му)). Позвоните в отдел лицензирования ФСТЭК (окружной или даже центральный) не стесняйтесь. Попросите консультацию. Они вроде адекватно себя ведут. Правда, не факт, что консультировать будет тот эксперт, который ваше дело будет вести. |
|
| Автор: sekira | 69735 | 17.03.2017 12:44 |
|
"и очень скоро ее будут защищать по 17-му приказу"
А можно поподробнее почему так и что грядет? И куда деть СТР-К... :))) "Они вроде адекватно себя ведут." Ах..хаха Речь про аттестацию АС ГТ, не про лицензирование по ТЗКИ. Собираетесь не выполнять РД АС? Как планируете обойти требования и где найдете орган готовый подставится? |
|
| Автор: nekto | 69739 | 17.03.2017 18:06 |
|
to Разработчик ПО, По разработке ПО | 69717
посмотрите требования к классу 1В. ... целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации; ... |
|
| Автор: WORM, MK | 69741 | 17.03.2017 18:15 |
|
" А можно поподробнее почему так и что грядет? И куда деть СТР-К... :))) "
В 149-ФЗ вносится поправка, обязывающая защищать весь госинформресурс. Т.о. сфера применения приказа 17 будет расширена: выполнять эти требования нужно будет не только в ГИС, но и всюду, где этот самый госинформресурс обрабатывается. Если ДСП обрабатывает коммерсант или ГУП, МУП, то он будет обязан принимать меры по защите в соотв. с Пр.17. Текст поправки в декабре был внесен в ГД. СТР-К никуда девать не надо: методический документ по защите от УИТК, если такие угрозы где-то актуальны. |
|
| Автор: WORM, MK | 69742 | 17.03.2017 18:25 |
|
sekira, намекаете, что в России невозможно разработать секретный софт по причине наличия РД АС? :))
|
|
| Автор: sekira | 69744 | 17.03.2017 19:14 |
|
"sekira, намекаете, что в России невозможно разработать секретный софт по причине наличия РД АС? :))"
Намекаю что кто то обходит требования РД НСД. Вопрос как? Думаю это краеугольный камень темы. Как примерно я сталкивался но дискредитацией органов и регуляторов заниматься не хочу, вот и слежу кто ответит по существу. |
|
| Автор: WORM, MK | 69745 | 17.03.2017 19:27 |
|
Кто-то обходит, кто-то согласовывает с регулятором.
У "Старшего Брата" все еще хуже: конкретных требований может и вовсе не быть, а дело делать надо. Какой выход? Нужно идти к нему на поклон, согласовывать ТЗ - и вперед. Кому-то согласуют, а кому-то нет. |
|
| Автор: sekira | 69746 | 17.03.2017 20:54 |
|
"согласовывать ТЗ - и вперед."
Собственно об этом и вопрос! |
|
| Автор: Евгений | 69782 | 20.03.2017 09:47 |
|
А зачем обходить требования РД АС? Требования к 1Б подсистема целостности, ни слова про запрет на средства разработки.
|
|
Страницы: 1 2 3 4 >
Просмотров темы: 8674
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"