Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новый перечень КИО на деятельность по разр. и произ. СЗКИ от 29.08.17 - Форум по вопросам информационной безопасности

Новый перечень КИО на деятельность по разр. и произ. СЗКИ от 29.08.17 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Влад | 96962 12.07.2018 11:26
Удачно зашёл в тему... Оказывается уже есть относительно новый, от 27 июня 2018, перечень по ПП 171 (разработка и производство СЗИ).

>>>И еще мне непонятно требование из п. 36:
>>>п. 36 - Средства антивирусной защиты (не менее 3 средств разных >>>производителей)
>>>Для каких целей лицензиату необходимо наличие НЕ МЕНЕЕ 3-х >>>сертифицированных средств АВЗ различных производителей?

Поправлю, это п.33 Перечня.
Логика в наличии трёх АВЗ есть. Достаточно проверки на веб-ресурсе virustotal , чтобы понять, что нет идеального АВЗ и доверять какому-либо одному АВЗ нецелесообразно, тем более, при разработке программного СЗИ.

Другое дело, зачем именно сертифицированные АВЗ?
Это довольно дорого, да и отечественного АВЗ не так много, NOD32, Kaspersky, да Dr.WEB.

Автор: StiON | 96973 12.07.2018 13:18
to Влад

Спасибо за поправку. Судя по темам, по которым я перемещаюсь последнюю неделю, и если Вы один и тот же Влад, мы находимся в поисках ответов на одни и те же вопросы :)


>> Логика в наличии трёх АВЗ есть. Достаточно проверки на веб-ресурсе virustotal , чтобы понять, что нет идеального АВЗ и доверять какому-либо одному АВЗ нецелесообразно, тем более, при разработке программного СЗИ.

Ну такая логика и мне близка, но вот бы она ОФИЦИАЛЬНО была объяснена и закреплена в РД ФСТЭК... Т.е. считаете устанавливать куда либо (в частности на аттестованную по конфи АС) данные АВЗ не требуется, достаточно иметь данные АВЗ в наличии с действующей лицензией на ПО?


Что скажете насчет "п. 36 Программатора" - есть какие то мысли?...

Автор: Влад | 96986 12.07.2018 14:13
>>>Т.е. считаете устанавливать куда либо (в частности на аттестованную по конфи АС) данные АВЗ не требуется, достаточно иметь данные АВЗ в наличии с действующей лицензией на ПО?

Вопрос интересный, об этом я не подумал.
Действительно, хотелось бы разъяснения ФСТЭК по данной позиции в Перечне.

Касательно наличия АВЗ. С одной стороны, есть требование иметь 3 АВЗ, необходимых для выполнения лицензионных работ. С другой стороны, нет документа (я по-крайней мере не знаю о таком), который предписывал бы использование этих АВЗ, хотя я допускаю, что есть какая-нибудь методика, которой надо руководствовать при разработке СЗИ, и в которой есть требование применять АВЗ. Но последнее маловероятно, т.к. есть утвержденный ФСТЭК "Перечень технической и технологической документации...", в котором явно нет таких документов, да и сами документы не позднее 2014 года утверждения, а значит в них отсутствует требование по использованию 3-х АВЗ. Думаю, ФСТЭК только ещё готовит методики и в них уже будут новые правила для разработчиков СЗИ, тогда-то 3 АВЗ и пригодятся.

Что касательно установки АВЗ на аттестованный АРМ. С этим на практике сложно. Учитывая, что АВЗ не дружат друг с другом, а некоторые АВЗ при установке и вовсе требуют удалить "конкурента", то получается нужно иметь несколько аттестованных АРМов, либо применять среду виртуализации. Что первое, что второе - это денежные затраты и дополнительные телодвижения.

Касательно "достаточно иметь АВЗ". Я думаю, сложно будет объяснить регулятору каким образом используется АВЗ, если это АВЗ по факту не установлено на АРМ и не фигурирует, например, в тех.паспорте на аттестованный АРМ, в разделе "Установленное ПО", в Протоколе НСД, который выдается на аттестованный АРМ )))

Касательно п.35, т.е. Программатора. Я так понимаю речь об обычном карт-ридере или подобном устройстве. С этим проблем не вижу. Устройств на рынке полно, устройства есть дорогие, есть дешёвые, сертификат соответствия ФСТЭК на программатор не требуется, так что требование выполнимо. И требование логично для разработки СЗИ. Если в СЗИ используется какой-нибудь микроконтроллер, чип или подобное, либо в СЗИ есть область памяти для хранения, например, ключевой информации или лицензионной информации, то программатор к месту.


Страницы: < 1 2

Просмотров темы: 6337

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*