Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Новый перечень КИО на деятельность по разр. и произ. СЗКИ от 29.08.17 - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Новый перечень КИО на деятельность по разр. и произ. СЗКИ от 29.08.17

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Влад | 96962 12.07.2018 11:26
Удачно зашёл в тему... Оказывается уже есть относительно новый, от 27 июня 2018, перечень по ПП 171 (разработка и производство СЗИ).

>>>И еще мне непонятно требование из п. 36:
>>>п. 36 - Средства антивирусной защиты (не менее 3 средств разных >>>производителей)
>>>Для каких целей лицензиату необходимо наличие НЕ МЕНЕЕ 3-х >>>сертифицированных средств АВЗ различных производителей?

Поправлю, это п.33 Перечня.
Логика в наличии трёх АВЗ есть. Достаточно проверки на веб-ресурсе virustotal , чтобы понять, что нет идеального АВЗ и доверять какому-либо одному АВЗ нецелесообразно, тем более, при разработке программного СЗИ.

Другое дело, зачем именно сертифицированные АВЗ?
Это довольно дорого, да и отечественного АВЗ не так много, NOD32, Kaspersky, да Dr.WEB.

Автор: StiON | 96973 12.07.2018 13:18
to Влад

Спасибо за поправку. Судя по темам, по которым я перемещаюсь последнюю неделю, и если Вы один и тот же Влад, мы находимся в поисках ответов на одни и те же вопросы :)


>> Логика в наличии трёх АВЗ есть. Достаточно проверки на веб-ресурсе virustotal , чтобы понять, что нет идеального АВЗ и доверять какому-либо одному АВЗ нецелесообразно, тем более, при разработке программного СЗИ.

Ну такая логика и мне близка, но вот бы она ОФИЦИАЛЬНО была объяснена и закреплена в РД ФСТЭК... Т.е. считаете устанавливать куда либо (в частности на аттестованную по конфи АС) данные АВЗ не требуется, достаточно иметь данные АВЗ в наличии с действующей лицензией на ПО?


Что скажете насчет "п. 36 Программатора" - есть какие то мысли?...

Автор: Влад | 96986 12.07.2018 14:13
>>>Т.е. считаете устанавливать куда либо (в частности на аттестованную по конфи АС) данные АВЗ не требуется, достаточно иметь данные АВЗ в наличии с действующей лицензией на ПО?

Вопрос интересный, об этом я не подумал.
Действительно, хотелось бы разъяснения ФСТЭК по данной позиции в Перечне.

Касательно наличия АВЗ. С одной стороны, есть требование иметь 3 АВЗ, необходимых для выполнения лицензионных работ. С другой стороны, нет документа (я по-крайней мере не знаю о таком), который предписывал бы использование этих АВЗ, хотя я допускаю, что есть какая-нибудь методика, которой надо руководствовать при разработке СЗИ, и в которой есть требование применять АВЗ. Но последнее маловероятно, т.к. есть утвержденный ФСТЭК "Перечень технической и технологической документации...", в котором явно нет таких документов, да и сами документы не позднее 2014 года утверждения, а значит в них отсутствует требование по использованию 3-х АВЗ. Думаю, ФСТЭК только ещё готовит методики и в них уже будут новые правила для разработчиков СЗИ, тогда-то 3 АВЗ и пригодятся.

Что касательно установки АВЗ на аттестованный АРМ. С этим на практике сложно. Учитывая, что АВЗ не дружат друг с другом, а некоторые АВЗ при установке и вовсе требуют удалить "конкурента", то получается нужно иметь несколько аттестованных АРМов, либо применять среду виртуализации. Что первое, что второе - это денежные затраты и дополнительные телодвижения.

Касательно "достаточно иметь АВЗ". Я думаю, сложно будет объяснить регулятору каким образом используется АВЗ, если это АВЗ по факту не установлено на АРМ и не фигурирует, например, в тех.паспорте на аттестованный АРМ, в разделе "Установленное ПО", в Протоколе НСД, который выдается на аттестованный АРМ )))

Касательно п.35, т.е. Программатора. Я так понимаю речь об обычном карт-ридере или подобном устройстве. С этим проблем не вижу. Устройств на рынке полно, устройства есть дорогие, есть дешёвые, сертификат соответствия ФСТЭК на программатор не требуется, так что требование выполнимо. И требование логично для разработки СЗИ. Если в СЗИ используется какой-нибудь микроконтроллер, чип или подобное, либо в СЗИ есть область памяти для хранения, например, ключевой информации или лицензионной информации, то программатор к месту.


Страницы: < 1 2

Просмотров темы: 1796

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.