Адрес документа: http://lib.itsec.ru/forum.php?sub=12699&from=0
Автор: Влад | 67138 | 23.11.2016 10:54 |
Добрый день!
Вопрос в связи с грядущими изменениями в законодательство о лицензировании. По новым требованиям, предъявляемым, например, к лицензии ТЗКИ, необходимо: _______________ наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку); программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения; _______________ Касательно последнего, а именно средств контроля (анализа) исходных текстов программного обеспечения. 1) Правильно ли я понимаю, что необходимо иметь сертифицированные ФСТЭК средства контроля (анализа) исходных текстов программного обеспечения? 2) На текущий момент в продаже только 3 (три) сертифицированных средства: - АИСТ-С - АК-ВС 1.0 - АК-ВС 2.0 Т.к. это ПО предназначено в основном для исходных кодов написанных на языках программирования C, C++, Java, то вопрос такой: если в рамках лицензионной деятельности необходимо анализировать исходные тексты, написанные на языках программирования, отличных от C, C++, Java, то как быть? 3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется? Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ. Например, если в рамках лицензионной деятельности разрабатывается на Pascal (например) программное СЗИ и использовать сертифицированное средство контроля (анализа) исходных текстов ПО не представляется возможным. |
Автор: malotavr | 67140 | 23.11.2016 12:27 |
1. Да
2. Для веб-интерфейсов к СЗИ есть еще PT Application Inspector (заканчивается процесс сертификации) 3. Все намного интереснее :) Лицензию вы получите с любым набором сертифицированных средств контроля. Проблемы начнутся при сертификации разработанных вами СЗИ. Есть ГОСТ Р 56939-2016, который описывает, что вы должны делать в части контролч исходников. При сертификации СЗИ вы должны будете показать, как именно вы обеспечиваете такой контроль сертифицированными средствами контроля. Если окажется, что ваше СЗИ написано на Паскале и вы не можете обеспечить контроль исходных текстов, сертификат вы не получите. У регулятора очень простая позиция: если разработчик не может проконтролировать (или доказать, что контролирует) отсутствие уязвимостей, которые его собственные программисты вносят в его собственный продукт, то такому продукту нечего делать на рынке СЗИ. |
Автор: Влад | 67141 | 23.11.2016 13:26 |
"Если окажется, что ваше СЗИ написано на Паскале и вы не можете обеспечить контроль исходных текстов, сертификат вы не получите."
Как же выходить из этой потенциально возможной ситуации? Передавать свою разработку самой ФСТЭК для последующего контроля исходных текстов, если такое вообще допустимо/возможно? |
Автор: malotavr | 67146 | 23.11.2016 21:31 |
> Как же выходить из этой потенциально возможной ситуации? Передавать свою разработку самой ФСТЭК для последующего контроля исходных текстов, если такое вообще допустимо/возможно?
Вы, наверное, не поняли. Вариантов ровно два. Или разработчик использует средства разработки, для которых он может продемонстрировать контроль качества кода доверенными средствами, или он не работает на рынке, в котором требуется сертификация СЗИ. Никаких других вариантов не предлагается. Это - проблема разработчика СЗИ, а не регулятора. Переход к такой жесткой схеме произойдет не завтра и не через год, но работа в этом направлении ведется. |
Автор: oko | 67147 | 23.11.2016 21:39 |
Вывод: писать only for *nix и на C, C++. Вестимо, к этому все и идет. Как же Астра и Роса много шумихи наделали (бедные-бедные Debian и Mandriva)...
|
Автор: malotavr | 67149 | 23.11.2016 21:58 |
> Вывод: писать only for *nix и на C, C++
+ С#, Java, PHP, Python, ABAP и т. п. Платформа как раз не принципиальна, например, динамический анализ софта для тех же андроидов делается в режиме эмуляции платформы. Нормальная разработка методов только статического анализа одного языка - это серьезная научно-исследовательская работа на несколько десятков человеколет (т.е. делается за год-два, но это работа для пары десятков специалистов разного профиля). Плюс динамический анализ - тоже нетривиальная задача. Поэтому прежде, чем вложиться в анализ определенного языка, вендор внимательно смотрит, а много ли потребителей на анализ этого языка. Ну вот конкретно с Паскалем особого ажиотажа не наблюдается. |
Автор: oko | 67150 | 23.11.2016 22:46 |
to malotavr
Тут была насмешка над ограничениями существующих анализаторов, приведенных топикстартером. А тот же GNU/Linux (и на его базе отечественные дистрибутивы-форки) нативно как раз gcc и g++ поддерживает. С Java, вроде, не так, ибо Oracle. Про остальные ЯП вообще молчу, ибо "недопустимы" на текущий момент, как выяснилось... Ждем СЗИ НСД на bash/sh! +100500 скриптов гарантии защищенности, ага :) |
Автор: malotavr | 67152 | 24.11.2016 00:29 |
> Тут была насмешка над ограничениями существующих анализаторов, приведенных топикстартером.
Это понятно :) Но новые разрабатываются, под какие языки - я перечислил :) В первую очередь - самые популярные языки для опенсорсных проектов и для фронтендов, |
Автор: SewenKlan, АйЭсТи | 71276 | 25.04.2017 12:51 |
Как я понял речь то идет о контроле (анализе) исходных текстов программного обеспечения. Именно что программного обеспечения, а не СЗИ.
Вот только не понятно, как же запросить исходники ПО или еще лучше исходники ОС, для анализа? И что же делать, ведь изменения вступят в силу уже через полтора месяца! Все кто не хочет потерять лицензию необходимо закупать, заведомо бесполезные анализаторы? Может кто уже запрашивал или уточнял у ФСТЭКа? |
Автор: SewenKlan, АйЭсТи | 71277 | 25.04.2017 13:28 |
Да, речь идет о постановлении правительства от 15.06.2016г. № 541 «О внесении изменений в некоторые акты правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности».
|
Автор: WORM, MK | 71338 | 26.04.2017 17:31 |
SewenKlan,
ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет. |
Автор: SewenKlan, АйЭсТи | 71535 | 27.04.2017 08:19 |
Где можно посмотреть этот перечень? Каким документом (или письмом) отменили 541?
|
Автор: WORM, MK | 71536 | 27.04.2017 09:35 |
А сайт ФСТЭК самостоятельно не пробовали искать?
И причем здесь ПП-541? |
Автор: Влад | 72353 | 31.05.2017 09:31 |
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
А причём тут Перечень, если есть чёткое требование ПП от 15 июня 2016 года N 541, которое никто не отменял: >>в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: .... .... программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения; Так нужно ли иметь в наличии средство контроля (анализа) исходных текстов ПО или нет? Узнавал ли кто-нибудь в ФСТЭК? |
Автор: Никита, Завод | 94188 | 04.06.2018 10:21 |
+ Владу, вопрос животрепещущий.
|
Автор: StiON | 96084 | 03.07.2018 10:32 |
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода. А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31: Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом. |
Автор: StiON | 96085 | 03.07.2018 10:32 |
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода. А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31: Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом. |
Автор: WORM, MK | 96086 | 03.07.2018 10:50 |
to StiON,
Я дал ссылку именно на тот перечень. Почитайте начало ветки и вы все поймете. Не надо додумывать, просто почитайте что пишет топикстартер. |
Автор: StiON | 96876 | 11.07.2018 13:31 |
to WORM,
А я и не додумывал - прочитал ветку сначала, прочитал сообщение топикстартера. Цитирую: >>3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется? Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ. Т.е. топикстартер задавал вопрос не только про использование анализатора исходных кодов в части лицензирования ТЗКИ, но и в части лицензирования на разработку и производство СЗКИ. Ну и опять же Влад в сообщении выше прав: в перечне для ТЗКИ анализатор кода отсутствует, но зато он присутствует в тексте самого Положения о лицензировании ТЗКИ (Положение, утвержденное ПП № 79, подпункт "в" пункта 5): "в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе: ... программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;..." Все еще будете утверждать, что ФСТЭК передумал? Или скажете, что ФСТЭК то передумал, а Правительство не передумало?) |
Автор: Влад | 96882 | 11.07.2018 14:14 |
Спасибо, что поддерживаете тему.
Действительно, до сих пор непонятно, уж мне точно, что именно нужно согласно требования ПП №171 в части наличия средств контроля (анализа) исходных текстов программного обеспечения. Формулировка требования составлена отчасти неоднозначно, по-крайней мере для меня. Как я понимаю предложение: 1) средство контроля (анализа) исходных текстов программного обеспечения не должно быть обязательно сертифицированным; 2) судя по скобкам, между понятиями "контроль" и "анализ" нет разницы. Т.е. под анализом можно понимать контроль. Если это так, то проводить контроль исходных текстов ПО можно и с помощью программного средства подсчёта контрольных сумм исходного текста ПО. А таких средств, тем более, несертифицированных, довольно много. В ОС Windows и Linux, есть даже встроенные консольные программы для подсчёта контрольных сумм. Хотелось бы почитать информационное письмо, разъяснение от ФСТЭК по данному поводу, но подобное я не нашёл. Направлять же официальный запрос в ФСТЭК, не хочется, т.к. спрашивать у регулятора как выполнять требование, уже имея лицензию, как-то странно и может повлечь неприятные последствия. Привлекать внимание, себе дороже. |
Просмотров темы: 9402
Copyright © 2004-2019, ООО "ГРОТЕК"