Адрес документа: http://lib.itsec.ru/forum.php?sub=16123&from=0
Автор: гость | 82363 | 16.11.2017 13:00 |
Здравствуйте! Подскажите, кто разбирался в теме, какие конкретно модели можно применить по следующим пунктам перечня:
п.16 - датчик переменной силы п. 23 - рефлектометр п.24 - оптический тестер п. 31 - средство анализа программного кода п.36 - программатор п.37 - система управления изменениями программного обеспечения п.38 - средства для автоматизации процессов тестирования средств ЗИ |
Автор: интересующийся | 83683 | 13.12.2017 14:10 |
Здравствуйте! Смотрю, никто человеку в этой теме не ответил, может, мне больше повезёт)
Вопрос по ПО, указанному в п.31 - средство анализа программного кода, сертификат ФСТЭК должно иметь это ПО или необязательно? В самом перечне про сертификат нет ни слова. |
Автор: oko | 83687 | 13.12.2017 15:35 |
Научитесь уже искать аналогичные темы на этом форуме. Поэтому никто и не помогает - все уже расписано, обсуждено и указано сотни раз...
Читайте: А что касается рефлектометров и датчиков... В перечне ФСТЭК четко указаны требования (причем весьма кривые, но либеральные). Подобрать аппаратуру, которую потом можно без проблем поверить, не сложно. И форум в этом явно не помощник... |
Автор: Влад | 83688 | 13.12.2017 15:38 |
>>Вопрос по ПО, указанному в п.31 - средство анализа программного кода, сертификат ФСТЭК должно иметь это ПО или необязательно? В самом перечне про сертификат нет ни слова.
Необязательно. Сертифицированных анализаторов программного кода всего один-два продукта, да и те для распространенных языков программирования. Поэтому логично, что сертификат ФСТЭК является необязательным. |
Автор: интересующийся | 83690 | 13.12.2017 16:59 |
для око:
что ж вы такой злой, уважаемый?) Хлебом не корми, дай нравоучения вставить) Здесь конкретно под интересующий меня перечень тема, а там под ТЗКИ. Разницу улавливаете?) Но всё равно спасибо вам, господин око, и вам, господин Влад, за ответы, благодарю. |
Автор: oko | 83691 | 13.12.2017 17:28 |
to интересующийся
Не злой, а, скорее, невнимательный. С другой стороны, ни за советы, ни за ссылки ответной услуги не прошу, так что имею право... Согласен, прошел мимо СЗКИ. Но аналогичные темы (лицензирования всего и вся, ага) раз от раза поднимаются, и это не повод не "Яндексить" форум. + главный ответ <"не сказано", значит, "не должно"> все равно актуален... А что до нравоучений... Не профессор же какой-нибудь, а рядовой комментатор Сети. Разницу улавливаете? :) |
Автор: интересующийся | 83694 | 13.12.2017 17:45 |
для око
я видел тему, которую вы мне в ссыль поставили, ещё до того, как задал вопрос...Ответа я там не увидел, может тоже потому, что не очень внимательный) А кстати, раз пошла такая пьянка, и вы завели тему про рефлектометры, то заодно скажите, что вы используете согласно п.16 Перечня, какой именно тип датчика переменной силы? Обычный аксель здесь не применить же? |
Автор: oko | 83695 | 13.12.2017 18:26 |
to интересующийся
Тут хохма в том, что мы дополнительно лицензиаты ГТ и оборудования посему у нас *зачеркнуто* слишком */зачеркнуто* много разного (и несуразного, ага). Поэтому рефлектометр+оптитестер у нас реализует ПАК "Сапфир" (как заверяет коллега). Что там есть еще на рынке из более-менее доступных средств, честно говоря, не смотрел - аппаратная часть КИО не моя кафедра... |
Автор: интересующийся | 83696 | 13.12.2017 18:40 |
для око
понятно...вдруг время будет у вас, не сочтите за труд, спросите у этого коллеги вашего, какой тип датчика переменной силы у вас имеется) |
Автор: StiON | 96957 | 12.07.2018 10:28 |
Подниму тему, т.к. весьма актуальна.
Коллеги, тоже попытаю удачу, вдруг с третьей попытки в данной теме появится знаток. Что подразумевается под п. 36 в Перечне ФСТЭК для деятельности по разработке и производству СЗКИ: "36 Программатор - Должен обеспечивать запись информации в постоянные запоминающие устройства и считывание информации из них" Что это за зверь? И для чего он ОБЯЗАТЕЛЬНО лицензиату по разработке и производству СЗКИ? Ну и мои предложения (во всяком случае мы будем подавать информацию во ФСТЭК именно об этих средствах) в ответ на вопрос топикстартера: п. 31 - Средства анализа программного кода: CppCheck, SonarQube, PMD, FindBugs п. 37 - система управления изменениями программного обеспечения: Microsoft TFS, GIT, JIRA + BAMBOO + Fisheye п. 38 - средства для автоматизации процессов тестирования средств ЗИ (средства тестирования проникновения): KaliLinux, Metasploit Framework, Burp Suite, Nessus, Nmap У кого есть опыт прохождения проверки ФСТЭК по новому перечню? Удовлетворят ли надзорный орган средства, перечисленные выше? И еще мне непонятно требование из п. 36: п. 36 - Средства антивирусной защиты (не менее 3 средств разных производителей) Для каких целей лицензиату необходимо наличие НЕ МЕНЕЕ 3-х сертифицированных средств АВЗ различных производителей? |
Автор: Влад | 96962 | 12.07.2018 11:26 |
Удачно зашёл в тему... Оказывается уже есть относительно новый, от 27 июня 2018, перечень по ПП 171 (разработка и производство СЗИ).
>>>И еще мне непонятно требование из п. 36: >>>п. 36 - Средства антивирусной защиты (не менее 3 средств разных >>>производителей) >>>Для каких целей лицензиату необходимо наличие НЕ МЕНЕЕ 3-х >>>сертифицированных средств АВЗ различных производителей? Поправлю, это п.33 Перечня. Логика в наличии трёх АВЗ есть. Достаточно проверки на веб-ресурсе virustotal , чтобы понять, что нет идеального АВЗ и доверять какому-либо одному АВЗ нецелесообразно, тем более, при разработке программного СЗИ. Другое дело, зачем именно сертифицированные АВЗ? Это довольно дорого, да и отечественного АВЗ не так много, NOD32, Kaspersky, да Dr.WEB. |
Автор: StiON | 96973 | 12.07.2018 13:18 |
to Влад
Спасибо за поправку. Судя по темам, по которым я перемещаюсь последнюю неделю, и если Вы один и тот же Влад, мы находимся в поисках ответов на одни и те же вопросы :) >> Логика в наличии трёх АВЗ есть. Достаточно проверки на веб-ресурсе virustotal , чтобы понять, что нет идеального АВЗ и доверять какому-либо одному АВЗ нецелесообразно, тем более, при разработке программного СЗИ. Ну такая логика и мне близка, но вот бы она ОФИЦИАЛЬНО была объяснена и закреплена в РД ФСТЭК... Т.е. считаете устанавливать куда либо (в частности на аттестованную по конфи АС) данные АВЗ не требуется, достаточно иметь данные АВЗ в наличии с действующей лицензией на ПО? Что скажете насчет "п. 36 Программатора" - есть какие то мысли?... |
Автор: Влад | 96986 | 12.07.2018 14:13 |
>>>Т.е. считаете устанавливать куда либо (в частности на аттестованную по конфи АС) данные АВЗ не требуется, достаточно иметь данные АВЗ в наличии с действующей лицензией на ПО?
Вопрос интересный, об этом я не подумал. Действительно, хотелось бы разъяснения ФСТЭК по данной позиции в Перечне. Касательно наличия АВЗ. С одной стороны, есть требование иметь 3 АВЗ, необходимых для выполнения лицензионных работ. С другой стороны, нет документа (я по-крайней мере не знаю о таком), который предписывал бы использование этих АВЗ, хотя я допускаю, что есть какая-нибудь методика, которой надо руководствовать при разработке СЗИ, и в которой есть требование применять АВЗ. Но последнее маловероятно, т.к. есть утвержденный ФСТЭК "Перечень технической и технологической документации...", в котором явно нет таких документов, да и сами документы не позднее 2014 года утверждения, а значит в них отсутствует требование по использованию 3-х АВЗ. Думаю, ФСТЭК только ещё готовит методики и в них уже будут новые правила для разработчиков СЗИ, тогда-то 3 АВЗ и пригодятся. Что касательно установки АВЗ на аттестованный АРМ. С этим на практике сложно. Учитывая, что АВЗ не дружат друг с другом, а некоторые АВЗ при установке и вовсе требуют удалить "конкурента", то получается нужно иметь несколько аттестованных АРМов, либо применять среду виртуализации. Что первое, что второе - это денежные затраты и дополнительные телодвижения. Касательно "достаточно иметь АВЗ". Я думаю, сложно будет объяснить регулятору каким образом используется АВЗ, если это АВЗ по факту не установлено на АРМ и не фигурирует, например, в тех.паспорте на аттестованный АРМ, в разделе "Установленное ПО", в Протоколе НСД, который выдается на аттестованный АРМ ))) Касательно п.35, т.е. Программатора. Я так понимаю речь об обычном карт-ридере или подобном устройстве. С этим проблем не вижу. Устройств на рынке полно, устройства есть дорогие, есть дешёвые, сертификат соответствия ФСТЭК на программатор не требуется, так что требование выполнимо. И требование логично для разработки СЗИ. Если в СЗИ используется какой-нибудь микроконтроллер, чип или подобное, либо в СЗИ есть область памяти для хранения, например, ключевой информации или лицензионной информации, то программатор к месту. |
Просмотров темы: 6383
Copyright © 2004-2019, ООО "ГРОТЕК"