19 сентября, четверг 17:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анализ уязвимостей по ОУД4

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от malotavr Посмотреть сообщение
    В таких формулировках - понятия не имею
    Т.е. из-за неправильных слов в профиле защиты нас ждут большие проблемы?

    Комментарий


    • Сообщение от ost Посмотреть сообщение

      Т.е. из-за неправильных слов в профиле защиты нас ждут большие проблемы?
      Нет. Разработчики не собираются сертифицировать свой софт независимо от слов в профиле, а потребитель самостоятельно не сможет этого сделать тоже в любом случае.

      Формулировка про сертификацию изначально мертворожденная и попала туда просто для приличия ("ну теоретически такое ведь возможно").

      Комментарий


      • Сообщение от malotavr Посмотреть сообщение
        Нет. Разработчики не собираются сертифицировать свой софт независимо от слов в профиле, а потребитель самостоятельно не сможет этого сделать тоже в любом случае.
        Вы сейчас обсуждаете саму сертификацию или слова в профиле про нее?



        Комментарий


        • Сообщение от Cpx Посмотреть сообщение
          Вы сейчас обсуждаете саму сертификацию или слова в профиле про нее?
          ​​​​​​Мы обсуждали сертификацию, но она возможна лишь гипотетически, независимо от того, какие слова будут написаны в финальной редакции профиля. Все-таки ключевая проблема - это сроки сертификации и фиксация конкретной сборки. При таком сочетании она для банковских систем абсолютно бессмысленна.

          Формулировки еще будут правиться.

          Комментарий


          • Сообщение от malotavr Посмотреть сообщение
            ы обсуждали сертификацию, но она возможна лишь гипотетически
            На мой взгляд вполне себе реальна, с периодическими накоплениями обновлений и их проверка в соответствии с положением о сертификации. Речь про сертификацию не про профилю, а про ТУ + УД4.К нам обратилось уже 2 вендора с вопросами сертификации их ПО, которые осознают необходимость и важность в этом для их клиентов. Какая будет их схема продажи сертифицированного продукта нам не известно.
            Сообщение от malotavr Посмотреть сообщение
            При таком сочетании она для банковских систем абсолютно бессмысленна.
            При таком подходе ЦБ, любой из подходов бессмысленен и превратиться в формальное соответствие (СЗИ и бумага будут лежать в ящике, а не в системе), почему ЦБ к ИБ стал подходить формально как это делал ФСТЭК в 200х - мне не понятно.

            ЦБ же в своем регламенте проверок четко требует - наличие бумажки подтверждающей выполнение требований. В данном случае у банка будет сертификат (сертификаты) на СЗИ. Тоже самое сейчас по ЕБС, главное не безопасность системы и защита ПДн и БПДн граждан, а наличие неких не понятных бумаг от ФСБ. Итоговая безопасность работающей системы не волнует регулятора... Некоторые решения вообще в отдельном контуре с запретами использовать СЗИ для других нужд банка (попахивает бредом и требованиями по ГТ, но для КИ))

            Комментарий


            • Сообщение от Cpx Посмотреть сообщение
              На мой взгляд вполне себе реальна, с периодическими накоплениями обновлений и их проверка в соответствии с положением о сертификации. Речь про сертификацию не про профилю, а про ТУ + УД4.К нам обратилось уже 2 вендора с вопросами сертификации их ПО, которые осознают необходимость и важность в этом для их клиентов. Какая будет их схема продажи сертифицированного продукта нам не известно.
              Ну вот если парни дозреют до подачи заявки и если им эту заявку согласуют - будет, о чем говорить. Обычно разработчики прикладного софта теряют желание связываться с сертификацией в тот момент, когда понимают, что сертифицируется определенная сборка.

              Комментарий


              • Сообщение от malotavr Посмотреть сообщение
                Обычно разработчики прикладного софта теряют желание связываться с сертификацией в тот момент, когда понимают, что сертифицируется определенная сборка.
                В 99% случаях теряют желание уже, когда узнают сроки и стоимость )) Но разрабы АБС уже не совсем обычные парни, им придеться все же идти по этому пути добровольно или принудительно. Остается каждому их них придумать, как они на этом смогут заработать (:

                Комментарий


                • Сообщение от Cpx Посмотреть сообщение
                  ... Остается каждому их них придумать, как они на этом смогут заработать (:
                  Не думаю, что они смогут придумать что-то новое, по сравнению с тем, что есть сейчас..
                  Т.е. версия ПО с бумажкой будет дороже и с отдельным циклом обновления. Например - https://certsys.ru/support/certified-updates-center/
                  Что-то похожее практикуется при сопровождении кастомных версий АБС/ДБО для отдельных банков, которые могут себе это позволить.
                  Последний раз редактировалось saches; 19.08.2019, 14:28.

                  Комментарий

                  Пользователи, просматривающие эту тему

                  Свернуть

                  Присутствует 1. Участников: 0, гостей: 1.

                  Обработка...
                  X