Автор: Евгений | 57793 | 15.07.2015 18:43 |
Борис | 57787
Нет, сертификация по НДВ производится и для обычного ПО. |
Автор: malotavr | 57813 | 16.07.2015 13:25 |
...которое содержит фнкции безопасности и в силу этого считается средством защиты информации :)
Логика примерно такая :) |
Автор: Борис | 57842 | 17.07.2015 12:51 |
То есть, если мы заявляем, что наше ПО не имеет подобных функций (ибо мы не имеем лицензии на производство средств защиты и не можем вообще-то сказать обратного) - то всё должно защищаться иным ПО (если клиент хочет следовать закону и защищаться), а от нас сертификата на НДВ не требуется?
|
Автор: Игорь | 57843 | 17.07.2015 12:58 |
Борис,
Эта тема уже обсуждалась на форуме и по практике если вы как разработчик ПО будете подавать заявку на его сертификацию по НДВ, то ФСТЭК обязательно потребует от вас наличие лицензии на разработку и производство средств защиты конфиденциальной информации |
Автор: Борис | 57845 | 17.07.2015 14:00 |
Игорь,
Ситуация такова, что мы не планируем подавать заявку во ФСТЭК, а планируем отказать клиенту в предоставлении сертификата отсутствия НДВ на основании того, что оная сертификация проводится для средств защиты, а мы таковое не производим. |
Автор: Игорь | 57846 | 17.07.2015 14:14 |
Борис,
Просто обсуждаемая ранее на форуме тема была очень похожа на вашу - там заказчик тоже требовал у разработчика ПО, которое также не являлось средством защиты, провести его сертификацию на НДВ и при подаче такой заявки ФСТЭК или орган по сертификации (не помню уже) потребовал наличие у разработчика лицензию |
Автор: malotavr | 57850 | 19.07.2015 00:57 |
Вы сперва определитесь, что первично, "ПО не имеет функций" или "мы не имеем лицензий".
В первом случае ПО не подлежит сертификации и даже захоти вы ее пройти, ваша заявка будет отклонена. Во втором случае вы можете попасть в неприятныу ситуацию, когда клиент ткнет пальцем в в форму ввода пароля в вашем ПО и совершенно справедливо поинтересуется: "Какого мужского полового органа?" Если серьезно, то вам следует отталкиваться от проектной документации на систему. Если в проектной документации описано, что ваше ПО выполняет некоторые функции безопасности в системе (например, в нем есть разграничение доступа пользователей), то таки да, ваше ПО в этой системе является еще и средством защиты информации, и может потребоваться его сертификация. А наличие или отсутствие лицензий конкретно в вашем вопросе не влияет вообще ни на что. Вы можете писать софт сло встроенными функциями безопасности, просто чтобы его сертифицировать, вам придется обратиться к лицензиату, который поработает прокладкой между вами и ФСТЭК. |
Автор: Oleg | 76829 | 31.08.2017 13:14 |
Всем здравствуйте! Наша ситуация по сертификации на НДВ зашла в тупик. Прошу комментариев.
Исходные условия: Имеем АСУ ТП (ж.д. сфера). Состоит из двух ПЭВМ под Линуксом (для работы двух разных людей) + комплекс устройств ввода-вывода. Локалка изолированна от внешних сетей. Закончился сертификат ФСТЭК на НДВ-4. пошли за новым, ТАКИМ ЖЕ. Закинули документы в ИЛ (исп. лаб.), получили Решение ФСТЭК, в котором проверяемым показателем признан только НДВ-4, кроме этого "Экспертизу результатов испытаний провести в таком-то ОС". Т.е. до этого момента все было хорошо. ОС посмотрев наши материалы отвечает, мол ваше ПО содержит СЗИ (!) и вы должны проверяться не только на НДВ-4, но и на соответствие ТУ. Хотя ещё ИЛу мы заявили, что не выполняем функции СЗИ. Камнем преткновения стало "разграничение доступа", которое якобы они обнаружили (в тексте нашли слово PASSWORD). В нашем случае действительно оператор АСУ ТП, работающий на АРМ перед началом работы вводит свой пароль (даже без логина), но в нашем случае это реализовано не для целей защиты информации. Ввод пароля - это в своем роде замена бумажному журналу, в котором пришел человек в начале дня и расписался в нем (т.е. зафиксировал часы начала работы); ушел - ещё раз "расписался" (введя пароль). Так грубо говоря его начальник видит время начала и окончания работы. Здесь не закладывалось никакой защиты. Посторонние не имеют доступа к АСУ ТП, т.к. пропускной режим. От кого защищаться - не понятно. Получается, что всё это прошло мимо ИЛ и ФСТЭК (даже глазом не повели) и в самом конце наткнулись на вилы со стороны ОС. В первом сертификате никакой экспертизы не было и был только НДВ-4. Теперь выходит, что нужно "разворачивать" Решение, править ТУ (добавлять СЗИ), готовить оценку уязвимости, анализ среды функционирования и др.; проводить испытания по новой - т.е. проверки на соответствие ТУ (за что ИЛ просит немалые деньги). Хотелось бы избежать такого поворота событий. Мы идем на все эти проверки добровольно - нам нужно только "НДВ-4". Выходит так, что будто мы идем сдавать экзамен по математике, а нас при этом пытаются заставить сдавать литературу. Оснований, т.е. согласно какому конкретно документу мы обязаны проходить проверку на соответствие ТУ (как СЗИ) - никто из участников сказать не может. Мол это "автоматически". Подскажите куда грести дальше? Всего лишь нужен сертификат на НДВ-4 (большая часть пути за плечами). Функций СЗИ в принципе не признаем, т.к. "похожие" на них вещи закладывались совсем для других целей. Заранее благодарю за комментарии. |
Автор: ustav | 76830 | 31.08.2017 13:30 |
Добрый день. Oleg,
1. Как правильно заметил тов. malotavr, если софт не содержит функционала по безопасности - сертификации он не подлежит. 2. Вместе с тем, ввод пароля с целью учета времени работы - относится к т.н. "регистрации событий безопасности". 3. Не поясните, а зачем вам "сферический конь в вакууме" (я про НДВ-4 в отрыве от всего остального)? |
Автор: Oleg | 76833 | 31.08.2017 14:10 |
ustav,
1. Тем не менее первый сертификат ФСТЭК был только на НДВ (с СЗИ как-то обошлось). 2. Ок, пусть это "относится" к "регистрации событий безопасности". Мы не против, кто и как его классифицирует) В нашем случае это не является функцией безопасности, такого не закладывали - назначение другое. 3. Такого коня хочет "заказчик". И потом почему сразу "конь в вакуме" :) Хотим доказать, что в нашем ПО нет левых функций - нет закладок. Всё, больше ничего другого. Добровольно хотим. А с точки зрения защиты информации - заказчику не кого бояться - физически доступ только у персонала (фильтрует контрольно-пропускной режим), сеть изолирована, usb-порты отключены - понять можно. |
Просмотров темы: 34000