Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертификация на НДВ (ФСТЭК) - Форум по вопросам информационной безопасности

Сертификация на НДВ (ФСТЭК) - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2 3 4

Автор: ustav | 76834 31.08.2017 14:21
Олег,
1. Раньше (да и сейчас тоже, но сильно реже) много чудес случалось. Лютиков лютует, гайки закручены.
2. Регистрация событий безопасности относится к функционалу по безопасности. Это так, между прочим.
3. Сертификация НДВ-4 в принципе не может выявить левые функции и люки - это банальный контроль полноты и отсутствия избыточности исходных текстов. Согласно РД НДВ может быть сертифицирован даже классический "троян" (при условии наличия в нём функционала по безопасности) ;)

Автор: Oleg | 76835 31.08.2017 14:48
ustav,
2. Но ведь "относится" и "является" - это не одно и то же.
Например, древесная доска - может относится как к забору, так и к мебели, а разработчик вообще применил её как стенку дома. При этом, мебельщиками она может классифицироваться как угодно, только тому кто её установил на дом это погоды не играет (извиняюсь за примитив), требования мебельщиков его не волнуют.
Вот и с определенным элементов в софте также - в данном случае её применили не как СЗИ, а средство скажем сбора статистики о приходе и уходе оператора - какая ж здесь защита..
3. Ок, хотим только "на контроль полноты и отсутствие избыточности". Добровольно. Каковы шансы?

Автор: ustav | 76836 31.08.2017 15:05
Только "на контроль полноты и отсутствия избыточности", боюсь, без шансов. Обратитесь лучше к пен-тестерам вроде Positive Technologies за заключением, которое потом предъявите "заказчику".

ЗЫ: а лучше всего накатайте обращение в ФСТЭК, ответ на которое под мягкое место подложите ;) Только требуйте в письменном виде, а то ФСТЭК любит по телефону объяснять вместо писанины...

Автор: WORM, MK | 76837 31.08.2017 15:17
Вот до чего доводит добровольная сертификация. Заказчик хотел проблем - он их получил.
Вообще-то по уму, вы заявились во ФСТЭК на сертификацию конкретной штуки по конкретным требованиям. ФСТЭК приняла по этому поводу решение: мол, проводим, проверяем то-то. Причем здесь хотелки ОС? Мало-ли что есть в продукте, от них требуется оценить, соответствует ли заявленная на сертификацию штука предъявляемым к ней требованиям или нет. Если там есть пароль или еще что-то - его никто не проверяет и соответственно, в качестве механизма ЗИ он нелегитимен. Может, он там выполняет функцию душевного спокойствия? Но вам надо было четко написать об этом в документации на изделие.

Попытайтесь решить этот вопрос через ФСТЭК, дозвонитесь до Кубарева или еще кого, выясните их позицию. Если это они требуют от ОС такого подхода - сопротивление бесполезно, если нет - бодайтесь с ОС.
ОС должен указать: что не соответствует ТРЕБОВАНИЯМ КОНТРОЛЯ НДВ в заявленном вами продукте. Только НДВ, а не всем на свете требованиям!

Автор: Oleg | 76845 31.08.2017 16:44
WORM, Ваш конечный вопрос про требования контроля НДВ - "в яблочко". Будем пробовать.

Спасибо откликнувшимся!

Страницы: < 1 2 3 4

Просмотров темы: 23698

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: