Сертификация на НДВ (ФСТЭК) - Форум по вопросам информационной безопасности

Олег,
1. Раньше (да и сейчас тоже, но сильно реже) много чудес случалось. Лютиков лютует, гайки закручены.
2. Регистрация событий безопасности относится к функционалу по безопасности. Это так, между прочим.
3. Сертификация НДВ-4 в принципе не может выявить левые функции и люки - это банальный контроль полноты и отсутствия избыточности исходных текстов. Согласно РД НДВ может быть сертифицирован даже классический "троян" (при условии наличия в нём функционала по безопасности) ;)

ustav,
2. Но ведь "относится" и "является" - это не одно и то же.
Например, древесная доска - может относится как к забору, так и к мебели, а разработчик вообще применил её как стенку дома. При этом, мебельщиками она может классифицироваться как угодно, только тому кто её установил на дом это погоды не играет (извиняюсь за примитив), требования мебельщиков его не волнуют.
Вот и с определенным элементов в софте также - в данном случае её применили не как СЗИ, а средство скажем сбора статистики о приходе и уходе оператора - какая ж здесь защита..
3. Ок, хотим только "на контроль полноты и отсутствие избыточности". Добровольно. Каковы шансы?

Только "на контроль полноты и отсутствия избыточности", боюсь, без шансов. Обратитесь лучше к пен-тестерам вроде Positive Technologies за заключением, которое потом предъявите "заказчику".

ЗЫ: а лучше всего накатайте обращение в ФСТЭК, ответ на которое под мягкое место подложите ;) Только требуйте в письменном виде, а то ФСТЭК любит по телефону объяснять вместо писанины...

Вот до чего доводит добровольная сертификация. Заказчик хотел проблем - он их получил.
Вообще-то по уму, вы заявились во ФСТЭК на сертификацию конкретной штуки по конкретным требованиям. ФСТЭК приняла по этому поводу решение: мол, проводим, проверяем то-то. Причем здесь хотелки ОС? Мало-ли что есть в продукте, от них требуется оценить, соответствует ли заявленная на сертификацию штука предъявляемым к ней требованиям или нет. Если там есть пароль или еще что-то - его никто не проверяет и соответственно, в качестве механизма ЗИ он нелегитимен. Может, он там выполняет функцию душевного спокойствия? Но вам надо было четко написать об этом в документации на изделие.

Попытайтесь решить этот вопрос через ФСТЭК, дозвонитесь до Кубарева или еще кого, выясните их позицию. Если это они требуют от ОС такого подхода - сопротивление бесполезно, если нет - бодайтесь с ОС.
ОС должен указать: что не соответствует ТРЕБОВАНИЯМ КОНТРОЛЯ НДВ в заявленном вами продукте. Только НДВ, а не всем на свете требованиям!

WORM, Ваш конечный вопрос про требования контроля НДВ - "в яблочко". Будем пробовать.

Спасибо откликнувшимся!