Страницы: < 1 2 3 4 5 6 7 8 9 10 11 12 13 >
Автор: Мимо | 67486 | 14.12.2016 15:50 |
Типичный ответ их ТП.
Спросите почему тогда об этом ничего нет в формуляре на версию РУСБ.10015-01 под ФСТЭК ?? |
Автор: oko | 67491 | 14.12.2016 22:26 |
to Александр
Тов. Мимо верно говорит. Либо отметка в формуляре, либо официальное представление вам ТУ на Астру (не выдадут скорее всего), в которых это (необходимость МДЗ) явно указано. Если ни того, ни другого - никакого нарушения нет... С другой стороны, есть еще ГОСТ по аттестации с его двоякой трактовкой доверенной загрузки. С материалами, которые ФСТЭК сейчас органам по аттестации написал, необходимыми для проведения аттестации я лично еще не успел ознакомиться. Но что-то мне подсказывает, что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :). Впрочем, это тоже не решает проблему из-за специфической трактовки ГОСТ в части проверки доверенной загрузки... А так, да, ждем новый "букварь", который по-идее должен поставить точку в вопросе доверенной загрузки в ГТ... ЗЫ imho, разработчики Астры попросту хотят впарить хоть кому-нибудь свой Максим-М1. Не ведитесь, даже если МДЗ будет в итоге обязателен к установке... |
Автор: Иван | 67676 | 17.12.2016 10:05 |
В ГОСТе по типовым программам и методикам есть пункт о том что должна выполняться невозможность загрузки с устройств не предусмотренных технологией инициализации АС. И это по моему мнению и приводит к необходимости использования МДЗ
|
Автор: sekira | 67677 | 17.12.2016 13:39 |
"что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :)."
это просто список того что должно быть, это не значит что Аттестация ОИ должна проводится в соответствии с требованиями приведенными в этих двух Гостах по аттестации. Еще раз в ГОСТах нет требовавний к ОИ есть требования как их аттестовать, в приложениях рекомендуемая (даже в трактовке ГОСта форма). Узаконен может ГОСТ быть в требованиях к ОИ в любом виде! А так, да, ждем новый "букварь" Золотые слова... |
Автор: sekira | 67678 | 17.12.2016 13:41 |
то Иван...
"В ГОСТе по типовым программам и методикам " есть требования к ОИ? |
Автор: oko | 67680 | 17.12.2016 18:38 |
to sekira
В упомянутом ГОСТ есть пункт про обязательность оной проверки во время аттестационных испытаний. И про то, что блокирование функций во время проверки - удел СЗИ. И, если читать формально, то СЗИ - это либо орг.+тех.меры, либо только технический сертифицированный элемент (у нас же все элементы должны быть сертифицированы под ГТ, ага). Т.е. отмазки аля "настройки BIOS + пароль" уже не катят. В противном случае - положительного заключения по результатам аттестационных испытаний выдать нельзя... Впрочем, никто и явно этого не указывал - на том до выхода "букваря" и держимся. to Иван Советую ГОСТ детально не цитировать. А то форум под ДСП придется "положить" :) |
Автор: sekira | 67681 | 17.12.2016 19:00 |
Еще раз.
ГОСТ не требования к ОИ, а порядок проверки требований. И ГОСТ необязателен для лицензиатов и органов, поэтому ждем новый "букварь". |
Автор: oko | 67682 | 17.12.2016 19:53 |
to sekira
Еще раз. Два вопроса. 1. Как можно "проверять требования", если самих "требований" нет? 2. Для кого же тогда обязательны ГОСТ по аттестации (оба два)? *в сторону* чисто для проформы. С моей точки зрения ГОСТ сделаны грамотно и обязательны, ибо это ГОСТ. А требования к той же ДЗ вне зависимости от их явного утверждения должны предъявляться при аттестации. Иначе вся эта чехарда не имеет смысла... |
Автор: sekira | 67683 | 18.12.2016 07:11 |
1. Никак. Но это не значит что они появились здесь.
2. Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе. тоже в сторону.... С моей точки зрения все должно быть четко и логично. Напишите как регулятор хоть где (пример как это сделано это 17 приказе или НМД в части техканалов по ГТ) для аттестации ОИ применяем такие то ГОСТы и все. А так получается "Иначе вся эта чехарда не имеет смысла..." |
Автор: oko | 67686 | 18.12.2016 23:40 |
to sekira
Шутку оценил, смешно. С одной стороны, регулятору это не выгодно - куда проще *ать незнающий народ за несоблюдение правил, которые либо не утверждены, либо закрыты семью печатями (привет, "другой" регулятор!). С другой стороны, регулятор тогда должен, вестимо, издать глобальный документ на все случаи жизни, в котором помимо правил на все существующие объекты будут также правила и на все потенциально возможные случаи... Кстати, ГОСТ на уровне обязаловки вроде как Правительство должно утверждать, а не регулятор. Регулятор как раз свою работу исполнил в достаточной мере. И имеет полное право требовать исполнения оных ГОСТ во время аттестации - не зря же разработаны были. Просто волокита бюрократии велика - как с тем же 17 Приказом (или НДВ из ПП 1119). Сколько лет прошло, а все равно народ считает, что ГИС - только те ИС, что в перечни попадают. Впрочем, надеюсь, вскоре этот вопрос будет закрыт уже на уровне ПП РФ. А оттуда и до ГОСТ недалеко. Прикол в том, что грамотно будет начать исполнение уже сейчас, не дожидаясь отмашек. Во всяком случае, когда исполнение не идет во вред... |
Просмотров темы: 72041