Контакты
Подписка
МЕНЮ
Контакты
Подписка

Средства контроля (анализа) исходных текстов программного обеспечения - Форум по вопросам информационной безопасности

Средства контроля (анализа) исходных текстов программного обеспечения - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: WORM, MK | 71338 26.04.2017 17:31
SewenKlan,
ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

Автор: SewenKlan, АйЭсТи | 71535 27.04.2017 08:19
Где можно посмотреть этот перечень? Каким документом (или письмом) отменили 541?

Автор: WORM, MK | 71536 27.04.2017 09:35
А сайт ФСТЭК самостоятельно не пробовали искать?

http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/438-perechen-utverzhden-direktorom-fstek-rossii-3-aprelya-2012-g

И причем здесь ПП-541?
Прошел месяц

Автор: Влад | 72353 31.05.2017 09:31
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
А причём тут Перечень, если есть чёткое требование ПП от 15 июня 2016 года N 541, которое никто не отменял:

>>в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
....
....

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Так нужно ли иметь в наличии средство контроля (анализа) исходных текстов ПО или нет? Узнавал ли кто-нибудь в ФСТЭК?
Прошел год

Автор: Никита, Завод | 94188 04.06.2018 10:21
+ Владу, вопрос животрепещущий.
Прошел месяц

Автор: StiON | 96084 03.07.2018 10:32
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода.
А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31:

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом.

Автор: StiON | 96085 03.07.2018 10:32
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода.
А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31:

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом.

Автор: WORM, MK | 96086 03.07.2018 10:50
to StiON,

Я дал ссылку именно на тот перечень. Почитайте начало ветки и вы все поймете. Не надо додумывать, просто почитайте что пишет топикстартер.
Прошло около недели

Автор: StiON | 96876 11.07.2018 13:31
to WORM,
А я и не додумывал - прочитал ветку сначала, прочитал сообщение топикстартера. Цитирую:

>>3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется?
Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ.

Т.е. топикстартер задавал вопрос не только про использование анализатора исходных кодов в части лицензирования ТЗКИ, но и в части лицензирования на разработку и производство СЗКИ.

Ну и опять же Влад в сообщении выше прав: в перечне для ТЗКИ анализатор кода отсутствует, но зато он присутствует в тексте самого Положения о лицензировании ТЗКИ (Положение, утвержденное ПП № 79, подпункт "в" пункта 5):

"в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
...
программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;..."

Все еще будете утверждать, что ФСТЭК передумал? Или скажете, что ФСТЭК то передумал, а Правительство не передумало?)

Автор: Влад | 96882 11.07.2018 14:14
Спасибо, что поддерживаете тему.

Действительно, до сих пор непонятно, уж мне точно, что именно нужно согласно требования ПП №171 в части наличия средств контроля (анализа) исходных текстов программного обеспечения.

Формулировка требования составлена отчасти неоднозначно, по-крайней мере для меня. Как я понимаю предложение:

1) средство контроля (анализа) исходных текстов программного обеспечения не должно быть обязательно сертифицированным;

2) судя по скобкам, между понятиями "контроль" и "анализ" нет разницы. Т.е. под анализом можно понимать контроль. Если это так, то проводить контроль исходных текстов ПО можно и с помощью программного средства подсчёта контрольных сумм исходного текста ПО. А таких средств, тем более, несертифицированных, довольно много. В ОС Windows и Linux, есть даже встроенные консольные программы для подсчёта контрольных сумм.

Хотелось бы почитать информационное письмо, разъяснение от ФСТЭК по данному поводу, но подобное я не нашёл. Направлять же официальный запрос в ФСТЭК, не хочется, т.к. спрашивать у регулятора как выполнять требование, уже имея лицензию, как-то странно и может повлечь неприятные последствия. Привлекать внимание, себе дороже.


Страницы: < 1 2

Просмотров темы: 9340

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*