Автор: WORM, MK | 71338 | 26.04.2017 17:31 |
SewenKlan,
ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет. |
Автор: SewenKlan, АйЭсТи | 71535 | 27.04.2017 08:19 |
Где можно посмотреть этот перечень? Каким документом (или письмом) отменили 541?
|
Автор: WORM, MK | 71536 | 27.04.2017 09:35 |
А сайт ФСТЭК самостоятельно не пробовали искать?
И причем здесь ПП-541? |
Автор: Влад | 72353 | 31.05.2017 09:31 |
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
А причём тут Перечень, если есть чёткое требование ПП от 15 июня 2016 года N 541, которое никто не отменял: >>в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: .... .... программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения; Так нужно ли иметь в наличии средство контроля (анализа) исходных текстов ПО или нет? Узнавал ли кто-нибудь в ФСТЭК? |
Автор: Никита, Завод | 94188 | 04.06.2018 10:21 |
+ Владу, вопрос животрепещущий.
|
Автор: StiON | 96084 | 03.07.2018 10:32 |
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода. А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31: Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом. |
Автор: StiON | 96085 | 03.07.2018 10:32 |
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода. А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31: Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом. |
Автор: WORM, MK | 96086 | 03.07.2018 10:50 |
to StiON,
Я дал ссылку именно на тот перечень. Почитайте начало ветки и вы все поймете. Не надо додумывать, просто почитайте что пишет топикстартер. |
Автор: StiON | 96876 | 11.07.2018 13:31 |
to WORM,
А я и не додумывал - прочитал ветку сначала, прочитал сообщение топикстартера. Цитирую: >>3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется? Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ. Т.е. топикстартер задавал вопрос не только про использование анализатора исходных кодов в части лицензирования ТЗКИ, но и в части лицензирования на разработку и производство СЗКИ. Ну и опять же Влад в сообщении выше прав: в перечне для ТЗКИ анализатор кода отсутствует, но зато он присутствует в тексте самого Положения о лицензировании ТЗКИ (Положение, утвержденное ПП № 79, подпункт "в" пункта 5): "в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: ... программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;..." Все еще будете утверждать, что ФСТЭК передумал? Или скажете, что ФСТЭК то передумал, а Правительство не передумало?) |
Автор: Влад | 96882 | 11.07.2018 14:14 |
Спасибо, что поддерживаете тему.
Действительно, до сих пор непонятно, уж мне точно, что именно нужно согласно требования ПП №171 в части наличия средств контроля (анализа) исходных текстов программного обеспечения. Формулировка требования составлена отчасти неоднозначно, по-крайней мере для меня. Как я понимаю предложение: 1) средство контроля (анализа) исходных текстов программного обеспечения не должно быть обязательно сертифицированным; 2) судя по скобкам, между понятиями "контроль" и "анализ" нет разницы. Т.е. под анализом можно понимать контроль. Если это так, то проводить контроль исходных текстов ПО можно и с помощью программного средства подсчёта контрольных сумм исходного текста ПО. А таких средств, тем более, несертифицированных, довольно много. В ОС Windows и Linux, есть даже встроенные консольные программы для подсчёта контрольных сумм. Хотелось бы почитать информационное письмо, разъяснение от ФСТЭК по данному поводу, но подобное я не нашёл. Направлять же официальный запрос в ФСТЭК, не хочется, т.к. спрашивать у регулятора как выполнять требование, уже имея лицензию, как-то странно и может повлечь неприятные последствия. Привлекать внимание, себе дороже. |
Просмотров темы: 9340