Есть ПО сертифицированное по требованиям к СЗИ от НСД для использования в ГИС 1 класса и ИСПДн 1 класса. В конфигурационном файле данного ПО задаются как настройки безопасности (например, характеристики пароля), так настройки бизнес функций (которые с большой вероятностью потребуется изменять после аттестации).
Пускай это будет ГИС 1 класса.
Потребует ли регулятор в данном случае фиксации конфигурационного файла?
to Pavel
В общем случае при аттестации указывается набор конфигураций используемых СЗИ (и только СЗИ, за исключением случая, когда угрозы безопасности устраняются настройкой общего или прикладного ПО). Но в то же время лицензиат, выдавший аттестат, может разрешить изменение тех или иных конфигураций (исходя из принципов функционирования и эксплуатации защищаемой системы) без необходимости проведения повторных испытаний - вот с ним и поговорите...
Регулятор, фактически, ничего подобного не требует - решаете вы, исходя из базовых требований, предъявляемых к ГИС (1 класса, в частности), и вашей Модели угроз...
