Автор: Александр | 73021 | 22.06.2017 15:53 |
to oko
По РД - 2.14. Требования к классу защищенности 1Б: - должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квартал; Этим и отличается (фактически 1Б от 1В). Но раз в квартал проверить контрольные суммы DL (или SN), антивирусника Трафаретом (или Фиксом), а также с помощью Терьера проверить, как удаляются удаленные файлы - несложно. |
Автор: Евгений | 73022 | 22.06.2017 16:10 |
Александр | 73021
Забыли еще про разграничение доступа типа Ревизоров. oko | 73020 "Т.е. устанавливать только "доверенные" программы для работы с электронными файлами, содержащими ГТ. Фактически, таких нет (кроме прошедших проверку по НДВ до 2 уровня контроля). Вот и думайте, в каком классе требования выше или ниже..." Эмм, а причем здесь доверенное ПО и НДВ2, раз мы говорим про разработку ПО на АС класса 1Б? Насколько я понимаю, должен быть разработан и внедрен механизм качества приемки созданного ПО и которым подтверждается, что созданное ПО не влияет на состояние защищенности объекта. |
Автор: Сергей, ОГВ | 73023 | 22.06.2017 17:21 |
Для oko
А почему качество приёмки - это установка "доверенных" программ (т.е. я как понимаю прошедших НДВ). Согласно ГОСТу Приёмка программных средств заключается в приёмочном осмотре и в приёмочном тестировании, т.е. выполнении "контрольного примера". |
Автор: oko | 73026 | 22.06.2017 19:32 |
to Сергей
А спросите тов. malotavr, как у нас на НДВ проверяют. Те же контрольные примеры, только, пожалуй, в бОльшем диапазоне... Выше писал про идеальный случай, который, благо, пока не обязателен. И, кстати, вы когда-нибудь при разработке/эксплуатации/аттестации АС 1Б какое-либо ППО в ней "приемочно тестировали"? Или, так сказать, опирались на жизненный опыт, что тот же MS Office при любом раскладе будет выполнять нужный функционал? В том и суть... |
Автор: oko | 73027 | 22.06.2017 19:39 |
to Евгений
Ваш пост что-то проглядел... Не суть - ответил уже тов. Сергею (ОГВ)... to Александр Вот вы о каком ежеквартальном контроле... Так оно не сильно отличается от того же 3А, где "должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД", с позиции самого функционала. Разве что периодичность добавилась... ЗЫ Помимо всего прочего, imho, "качество приемки программных средств в АС" подразумевает, что в них отсутствует недекларированный функционал, а также функционал, напрямую не связанный с обработкой ГТ в электронном виде. Аля те же отладчики, дебаггеры и дизассемблеры. А если пытаться под эту формулировку подтянуть идею "для обработки ГТ нужны отладчики, потому что софт ГТшный => приемка таких ПС допустима в 1Б", то, повторю мысль, высказанную ранее - это, imho, бред, и в самом коде ничего секретного быть не может и быть не должно... |
Просмотров темы: 8670