Недекларированные возможности
 

Есть ли на форуме специалисты по сертификации ПО на НДВ, в т.ч. по РД НДВ? Есть вопросы по уровням контроля и др. Просьба откликнуться..

...ок! есть ли те, кто проходил сертификацию ПО на НДВ? Некорректных вопросов задавать не буду :)

Задавай.

Есть. Но не сертификацию, а испытания, с последующим декларированием.
Некорректные вопросы просьба направлять в испытательные центры.

задаю!
Имеем ФСТЭКовский руководящий докмент.
В общих положениях смотрим классификацию - правильно ли понимать, что ПО РПЦ, МПЦ на НДВ должно сертифицироваться по самому низкому уровню контроля - четвертому?
На соответствие чему ещё оно должно/могло бы сертифицироваться в плане недекларируемых возможностей?

Дык, ТС как раз из ИЦ ******* :lol:

Ага?:raD:

" Особо умные будут таскать чугуний ". Не обижайтесь.
НЕ сертифицируется ПО!!!!! Декларируется - это разные процедуры.
ФСТЭК какое прямое отношение имеет к ТР ТС?
Есть стандарты (хреновые , не знаю в который раз это говорю, но НИИАС и ПГУПС других не родили) в них есть показатели. Отсутствие НЕДЕКЛАРИРОВАННЫХ возможностей- то есть возможностей и функций НЕ указанных в документации на ПО ( не дословно) Заявитель (Изготовитель) доказав САМ. Это отличие процедуры ДЕКЛАРИРОВАНИЯ от сертификации. Т.е. испытательный центр со всеми вытекающими находит Заявитель.
Это уясните для себя. Многие " некорректные " вопросы , думается пропадут. Появятся конечно , новые, но это другая песня....:raD:

Про ТР ТС речи не идёт.
Речь и идет про самостоятельное доказательство отстутствия НДВ в продукте.
Например:
Заказчик системы:
- Хотим знать как у вас дела с НДВ в продукте (в ПО)?
Поставщик:
- Вот пож-та, все процедуры соблюдены, вот сертификат ФСТЭК.

По технической защите информации в стране главные они (ФСТЭК).
Отсюда - вопрос был задан выше.

Если всерьез - то тему технической защиты информации нужно выводить из сферы действия ТР ТС - каждое государство-член таможенного союза самостоятельно решает эти вопросы на уровне своего законодательства.

ДА РАДИ БОГА!!!!!!
За свои деньги -делайте что хотите.
Только требования по НДВ есть в ТР ТС, они минимальны, но достаточны для реализации ПО как продукции.
Ежели с вас требуют ещё чего то и это чего то ну оооооочень важно для потребителя, в соответствии с законом о тех регулировании при закупке вносятся дополнительные требования в договор. А просто так требовать что либо.....
Опять же деньги ваши , требования ФСТЭК непосредственно не распространяется на ЖАТ и её составные части, каковым является и ПО.

17845 добавил 23.06.2017 в 15:56
Вы чё......?.....
Сейчас эти требования стараются привести к к общему знаменателю, дабы не путаться в понятиях ,терминах , определениях и т. д.
То есть максимально обеспечить единые требования в ЕАЭС и тем самым бороться с происками супостата единым так сказать фронтом.

В части технической защиты информации - не думаю!
Это ведь - в какой-то степени - посягательство на суверенитет...

Посягательство на суверенитет это когда в ПО влезает некто никакого к этому ПО отношения не имеющий - где то так , в первом приближении.....
А в соответствии с договором о ЕАЭС , этот самый договор имеет статус выше , чем все ТР ТС.
Ну и некоторые положения договора предполагают единый подход государства -участников к так называемой "компутерной безопасности ".
Понятно, что в деталях проблемы и некоторых ээээээ...... тонкостях всё равно никто не собирается делиться или посвящать кого то. Это и правильно.
Иначе получится квадратногнездовая п...па, с зубами.

во-первых могут влезать в ПО, а могут и сами разработчики заранее пресловутых закладок наставить и здесь я так понимаю проверка на НДВ становится актуальной. Могут? Могут. Значит по хорошему надо проверять и на это.

Почему?

1. Проверять НАДО и ТР ТСы это требуют, что и делается в рамках поддерживающих ( дурацких) стандартов.
2. Что такое ФСТЭК? С этого начнём.....