Коллеги, прошу помочь по такому вопросу. Напишу немного сумбурно, но надеюсь суть моего вопроса будет ясна.
Не первый раз сталкиваюсь с требованием, что если в ГИС реализован механизм доступа, например, по логину/паролю, то код программы такой ГИС должен быть сертифицирован на соответствие требованиям ИБ. Иногда это требованием звучит в контексте необходимости реализации меры защиты УПД.2. Также, с подобным требованием сталкивался, если в ГИС используется СУБД PostgreSQL и MongoDB, якобы они реализуют функции безопасности информации и эти СУБД должны быть сертифицированы.
Пока же, удаётся закрывать требование по "сертификации приклада" тем, что используются сертифицированные СЗИ от НСД (Secret Net, Dallas Lock и т.п.), но для себя хотелось бы всё-таки понять, в каком нормативном документе прописано требованием по сертификации прикладного ПО (кода программы ГИС), реализующего механизмы безопасности?
Для ГИС таких требований в явном виде нет. Но, если в каком-то используемом софте какой-то механизм объявляется "технической мерой защиты" (по факту и/или на бумаге), то будьте добры использовать сертифицированную версию такого софта в полном соответствии с п. 26 Приказа 17. Либо сертифицировать этот софт в отдельном порядке (причем ОУД по умолчанию нужен, а если затрагиваются вопросы УПД, ИАФ и т.д., то еще и старый РД СВТ подтягивается). Что, imho, вполне логично...
Кстати, прикрывать прикладное ПО сертификатами на СЗИ НСД - это в большинстве случаев попытка перехитрить самого себя. Особенно в случае с СУБД и прочим софтом, на уровне представления которого оные СЗИ НСД ничего не решают...
