Контакты
Подписка
МЕНЮ
Контакты
Подписка

Пиратское ПО на ОВТ - Форум по вопросам информационной безопасности

Пиратское ПО на ОВТ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Денис, ТЕЛЕКОМКРИПТ | 107519 16.11.2019 23:00
Какие действия должен предпринять специалист лицензиата при наличии явно пиратского ПО
на аттестуемом обьекте. Обязан ли проверять документы на ПО(лицензии)? Если обязан, то на основании какого документа? Какие могут быть последствия?

Автор: Практик | 107525 17.11.2019 15:14
2 Денис
Формально это нарушение не по линии ФСТЭК/ФСБ, а РКН. И от суммы зависит ответственность. То есть нарушения обязанностей по ТЗИ, при нефиксации вами нарушения, нет
Но есть другая проблема: к такому софту не может быть документов о приобретении и пр. То есть вы будете снимать контрольные суммы и пр. на заведомо незаконном (ворованном) продукте. Момент скользкий -вы его легализуете, внося в паспорт.
С точки зрения ТЗИ риск минимален - если и есть какие закладки, то сертифицированное ПО защиты ему не даст пакостить. Разве что какая "бомба" с самоликвидацией софта, тогда попадёте на крупные суммы и проблемы.

Автор: Денис, Телекомкрипт | 107526 17.11.2019 19:08
Практик
Спасибо. НО...
Контрольные суммы снимаются только с СЗИ от НСД и потом прикрепляются к выходным документам.
С обычного ПО не снимаются. Но всё равно сертифицированное ПО не всё ловит. Например продукты TFLEX ведут себя как хотят. Процессы защита не контролирует. Мандатка с ними не работает.

Автор: 14, МО | 107527 17.11.2019 21:18
При консультации у регулятора по данному вопросу было однозначно сказано, что ВСЁ установленное ПО на аттестуемом объекте по GT должно иметь лицензии и официальные дистрибутивы от производителей. В том числе условно бесплатное.
На самостоятельно разработанное ПО должна быть оформлена документация.
Сушите сухари. Влетит усем.

Автор: Практик | 107529 17.11.2019 21:59
2 14

1. "ВСЁ установленное ПО на аттестуемом объекте по GT должно иметь лицензии и официальные дистрибутивы от производителей. В том числе условно бесплатное."
Это как раз очевидный момент. Проблема с официальным дистрибутивом свободно распространяемого, но чисто казуистика, как легализовать честно скачанное.
2. Они должны были вам официально разрешить административное правонарушение?! Они могут себе позволить не заметить его. Но записывать пиратку на диск и рисовать к нему документ о бесплатном происхождении - чисто ваши риски. Другое дело, что РКН на секретные компьютеры с проверками не ходит.

Автор: 14, МО | 107530 17.11.2019 22:47
3 Практик

В любом случае не аттестатор должен легализовывать в процессе аттестации.

По ГТ ходят другие, не менее серьёзные.

Проанализировать на бесплатность конкретную программу дело 10 минут. Естественно, что на 7zip или LibreOffice никто лицензию спрашивать не будет.

Автор: oko | 107532 18.11.2019 12:42
*в сторону*
На колу мочало - начинай сначала...

Вопрос лицензионной чистоты вообще вне компетенции органа по аттестации. Потому что он не орган исполнительной власти. И не внутреннее подразделение организации-владельца аттестуемого ОВТ (имеющее такие права согласно внутреннему приказу, например). А кто там ходит и проверяет - дело десятое. Соответствующее упоминание о проверке лиценизионности в рамках АИ в документах регуляторов - в ту же степь. Регулятор может хотеть чего угодно, но посылать при этом будут именно специалистов органа по аттестации, вознамерившихся проверить что-либо на лицензионность...
Что же до opensource - здесь еще проще. Проверка "скачивания софта с оф.сайта производителя" - это не проверка лицензионности, а проверка аутентичности. Проводится элементарно: по контрольным суммам эталонных образцов, если очень хочется. Что до лицензирования opensource - можно печатать прилагаемые к нему условия использования (GNU/GPL, ага) и оклеить этими веселыми текстами все стены в РСП. Только разницы нет, что лицензия в электронном виде, что в бумажном. Один хрен, на ее проверку (пусть и формальную) права органа по аттестации также не распространяются...

Автор: oko | 107533 18.11.2019 12:45
И не забывайте, товарищи, что работа органа по аттестации - подтвердить или опровергнуть статус нужной защищенности ОВТ. Так что вписывание ломаного MS Office в тех.паспорт != легализация такого софта. Это фиксация его наличия и, согласно последующим выводам Протокола НСД, оценка (не)влияния его на защищенность АС в целом. Пусть даже по формальным признакам (например, отсутствие среды исполнения какого-либо кода, что суть ересь в контексте MS Office, но да всем наср*ь). Не больше и не меньше...

Автор: sekira | 107547 20.11.2019 07:25
"вписывание ломаного MS Office в тех.паспорт " в аттестат наверно? Этот вопрос частично рассмотрен в ГОСТах по аттестации ОИ + плюс подробный отчет сейчас в округ со стороны органов никто не отменял.

Автор: oko | 107548 20.11.2019 10:16
to sekira
В техпаспорт, в Аттестат, в другие бумажки - без разницы. Все равно означенные причины (ГОСТ и отчетность) не отменяют факта безграмотности данного действия. Будет ФЗ или иной "серьезный документ" о передаче права на проверку лицензионности софта от ФОИВ к лицензиатам - будет другой коленкор...

Просмотров темы: 676

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*