Автор: basid Автор: Saches .......
Цитата:2. Как должен/может быть организован процесс, что бы при "накатывании" обновлений (патчей) на ПО, подтверждение прохождения контроля встраивания оставалось актуальным(действующим)?
Опять-таки, открываем формуляр и читаем, что-то вроде "процесс ОС обновления определяет разработчик ОС".
Цитата:Вот Вы как считаете, после разработки новой версии прикладного ПО и просто после накатывания патчей, нужно опять проводить контроль встраивания? Или как?
Снова открываем формуляр и читаем про список сертифицированных ОС. Пытаемся осознать, что если процесс организован по формуляру, то сертификация СКЗИ - действует.
Большое спасибо за оперативные ответы!
Вы уж извините, но у Вас, наверное, очень хорошо получается писать ответы на официальные запросы, просто приводя цитаты из нормативки и документации.
Именно поэтому, я и не люблю писать официальные запросы, т.к., как правило, нчего, кроме очередной цитаты из нормативки, или её переложения своими словами, в ответ не получишь.
По Вашим ответам - ну ежу же понятно, что режим обновления любого ПО определяет разработчик этого ПО, но я же не об этом спрашиваю. И при чем тут "ОС", "список сертифицированных ОС" и, вообще, что такое ОС в нашем контексте? И при чем здесь действие сертификата СКЗИ? Или Вы просто трОлите? (это все риторические вопросы)))
Давайте по порядку.
1. Существует некое ПО, например некий клиент-банк/банк-клиент или автоматизированная банковская система, в просторечии ДБО или АБС соответственно.
2. Для получения в этом ПО возможности формирования ЭП и шифрования электронных сообщений (ЭС), в это ПО встраивают сертифицированное СКЗИ.
3. Т.к. СКЗИ используется в т.ч. для защиты конфиденциальной по действующему законодательству информации, необходимо проведения контроля встраивания.
О чем и напоминает ФСБ в своем очередном информационном сообщении (см в моём 1-ом посте).
4. В этом же информационном сообщении сказано, что для проведения контроля встраивания необходимо обращаться к разработчику СКЗИ.
Что я, фактически, и делаю, задавая вопросы, которые меня интересуют вроде как, в тематической ветке форума одного из отечественных разработчиков СКЗИ.
Далее. Вроде как уже понятно, что для проведения контроля встраивания нужны исходники, время и деньги.
Допустим, прошел год, мы получили желаемую выписку из заключения ФСБ, но (так обычно бывает), к этому моменту, разработчик выпустил обновленную версию своего ПО.
Я снова прихожу к разработчику СКЗИ и спрашиваю его:
А). Как можно минимизировать сроки и затраты и нужно ли, вообще, снова проводить тематические исследования/контроль встраивания?
Т.е. меня интересует компетенции разработчика СКЗИ в части возможности минимизации затрат на проведения контроля встраивания в прикладное ПО в рамках жизненного цикла этого ПО.
Б). Легко предположить, что если затраты и весь геморрой на решение вопросов по контролю встраивания возьмет на себя разработчик прикладного ПО, то это может быть определенным конкурентным преимуществом при выборе этого разработчика в качестве поставщика необходимого прикладного ПО. Именно об этом был мой последний вопрос.
Что собственно не понятно в моих вопросах? Зачем Вы постоянно подсовываете мне какие формальные фразы из формуляра и документации?
Я Вас уверяю, что там нет ответов на мои вопросы.
Отредактировано пользователем 28 августа 2017 г. 17:47:40(UTC)
| Причина: Не указана