Добрый день, спасибо за вопрос. Организация и порядок проведения аттестационных испытаний установлены национальным стандартом (ГОСТ РО 0043–003–2012).Чтобы детально разобраться с тем, как проходит сама аттестация необходимо изучить этот документ. Если же отвечать на вопрос кратко, то порядок проведения аттестации объектов информатизации (ОИ) включает в себя следующие основные мероприятия:
— подачу и рассмотрение заявки на аттестацию ОИ;
— проведение предварительного обследования ОИ;
— разработку и согласование программы и методик аттестационных испытаний;
— проведение аттестационных испытаний ОИ;
— разработку отчетных материалов по результатам аттестационных испытаний, оформление аттестата соответствия требованиям безопасности информации (в случае положительных результатов испытаний).
Здравствуйте. Да, вы правы, есть опасность размазывания логики по разным технологиям, как в любых сложных гетерогенных системах и, конечно, этого надо всячески избегать.
Команда разработки для себе определила, что разработчик не должен разбираться с самим бизнес процессом в BPMN.
Никто лучше аналитика не может и не должен разбираться в BPMN, а действия в custom extension должны быть атомарными и легко диагностируемыми, да и делать их надо только в крайнем случае.
В нашем случае доработки были в основном со стороны API приложения и лишь пару раз пришлось реализовывать custom extension для специфических действий.
Использование в течении нескольких лет этого подхода показало только выигрыш в сопровождении.
Здравствуйте, спасибо за вопрос.
NuGet нам не подошёл по двум причинам. Первая – это неудобная интеграция в проект на базе CMake.
Вторая – это его использование под Linux, где для его установки необходимо подключение репозиториев Net Core. Conan нам показался более интуитивно понятным, с хорошей интеграцией в CMake. Пакетный менеджер NuGet очень удобно использовать для проектов MS Visual Studio, где мы его и используем в проектах на C#.
Добрый день. Зависимости Conan, подтягиваются очень просто. Рассмотрим пример: в проекте имеется conanfile.txt (пример приведен в статье) со списком используемых пакетов. Необходимо подтянуть все пакеты, определенные в этом файле для необходимого окружения сборки.
Это можно сделать как минимум двумя способами:
1. Использовать модуль CMake (актуален при проекте на CMake). Для этого в CMakeLists.txt необходимо добавить инструкцию conan_cmake_run(CONANFILE conanfile.txt BASIC_SETUP CMAKE_TARGETS NO_OUTPUT_DIRS).
При таком использовании при генерации CMake, Conan сам опередит окружение (компилятор, тип сборки, архитектура и т.д) и подтянет все необходимые пакеты (и их зависимости) под заданное окружение.
2. В командной строке в директории сборки выполнить команду Conan:
conan install conanfile.txt –pr vs19_d
где -pr vs19_d указание conan-профайла с описанием окружения сборки. Подробнее про профайлы тут.
Здравствуйте, спасибо за вопрос. В статье описан опыт работы с пакетным менеджером Conan.io. команды разработки Efros Config Inspector.
Efros Config Inspector является средством контроля конфигураций и состояний рабочей среды сетевого оборудования, средств защиты информации, платформ виртуализации и операционных систем. Поэтому мы посчитали возможным упомянуть хаб «Информационная безопасность».
Однако, 63-ФЗ определяет, какой документ обладает юридической значимостью: служба DVCS реализуется в соответствии с международными рекомендациями (RFC3029), что допустимо и ничем не ограничено, а результат её работы (квитанция, содержащая доскональные результаты проверки ЭД) заверяется квалифицированной УЭП этой службы и, соответственно, обладает полной юридической значимостью на государственном уровне.
Вы не могли бы уточнить, какой именно раздел в 63-ФЗ? В случае ст.7 уточняется, что подписи, выполненные в соответствии со нормами иностр права или стандартов, признаются соответствующими типам ЭП, к-рые введены в законе и признакам к-рого они соответствуют.
При этом ЭП не может быть признана только на основании, что она иностранная. Других уточнений не нашел.
Здесь речь не про иностранные подписи, а про юридическую значимость квитанций, сформированных службой DVCS, которые обладают ей в соответствии со статьей 6 ФЗ-63.
Прецедентов обращения в суд с такими квитанциями на сегодняшний день нет, но на каком основании они могут быть не приняты к рассмотрению, когда полностью удовлетворяют требованиям закона об «Электронной подписи»?
У меня вопрос, на основании чего DVCS может быть признано подтверждением того, что «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)»? Есть только некий иностранный стандарт — к-рый _пока_ не проецируется на текущий 63-ФЗ. С таким же успехом можно использовать любой черновик стандарта для подтверждения валидности ЭП. Т.к. этот стандарт _пока_ не принят на территории РФ, кто будет страховать на предмет ошибок в стандарте?
Не совсем так. Для того, чтобы квитанция DVCS была признана подтверждением того, что «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)», этот DVCS должен функционировать в соответствии с российской нормативно-правовой базой (что обеспечено, никаких противоречий ни ФЗ, ни рекомендациями, ни стандартам нет) и иметь сертификат соответствия нашего регулятора, отвечающего за все, что связано с криптографией.
Да, действительно, сегодня в российской нормативно-правовой базе нет упоминаний о службе DVCS. Однако, 63-ФЗ определяет, какой документ обладает юридической значимостью: служба DVCS реализуется в соответствии с международными рекомендациями (RFC3029), что допустимо и ничем не ограничено, а результат её работы (квитанция, содержащая доскональные результаты проверки ЭД) заверяется квалифицированной УЭП этой службы и, соответственно, обладает полной юридической значимостью на государственном уровне. И еще хотелось отметить, что изменения в 63-ФЗ (еще пока не утвержденные), вводят понятие доверенной третьей стороны, чем по сути является служба DVCS. Прецедентов обращения в суд с такими квитанциями на сегодняшний день нет, но на каком основании они могут быть не приняты к рассмотрению, когда полностью удовлетворяют требованиям закона об «Электронной подписи»?
Если обратиться к Вашим предложениям:
«повторное подписание новым действующим сертификатом (УКЭП) комплекта ЭД + ЭП»
Да, действительно, так можно, почему бы и нет. Однако, потребуется механизм, который будет отслеживать действительность «комплекта ЭД+ЭП».
«простая распечатка реестра хешей подписей ЭД и подписание этого реестра ответственным сотрудником»
Также имеет место быть. Причем в обоих вариантах можно выполнить повторное подписание с помощью архивной подписи в формате XAdES-A, CAdES-A. Служба DVCS – это один из вариантов организации ДАХ, кстати, находящийся на сертификации.
— подачу и рассмотрение заявки на аттестацию ОИ;
— проведение предварительного обследования ОИ;
— разработку и согласование программы и методик аттестационных испытаний;
— проведение аттестационных испытаний ОИ;
— разработку отчетных материалов по результатам аттестационных испытаний, оформление аттестата соответствия требованиям безопасности информации (в случае положительных результатов испытаний).
Команда разработки для себе определила, что разработчик не должен разбираться с самим бизнес процессом в BPMN.
Никто лучше аналитика не может и не должен разбираться в BPMN, а действия в custom extension должны быть атомарными и легко диагностируемыми, да и делать их надо только в крайнем случае.
В нашем случае доработки были в основном со стороны API приложения и лишь пару раз пришлось реализовывать custom extension для специфических действий.
Использование в течении нескольких лет этого подхода показало только выигрыш в сопровождении.
NuGet нам не подошёл по двум причинам. Первая – это неудобная интеграция в проект на базе CMake.
Вторая – это его использование под Linux, где для его установки необходимо подключение репозиториев Net Core. Conan нам показался более интуитивно понятным, с хорошей интеграцией в CMake. Пакетный менеджер NuGet очень удобно использовать для проектов MS Visual Studio, где мы его и используем в проектах на C#.
Это можно сделать как минимум двумя способами:
1. Использовать модуль CMake (актуален при проекте на CMake). Для этого в CMakeLists.txt необходимо добавить инструкцию conan_cmake_run(CONANFILE conanfile.txt BASIC_SETUP CMAKE_TARGETS NO_OUTPUT_DIRS).
При таком использовании при генерации CMake, Conan сам опередит окружение (компилятор, тип сборки, архитектура и т.д) и подтянет все необходимые пакеты (и их зависимости) под заданное окружение.
2. В командной строке в директории сборки выполнить команду Conan:
conan install conanfile.txt –pr vs19_d
где -pr vs19_d указание conan-профайла с описанием окружения сборки. Подробнее про профайлы тут.
Efros Config Inspector является средством контроля конфигураций и состояний рабочей среды сетевого оборудования, средств защиты информации, платформ виртуализации и операционных систем. Поэтому мы посчитали возможным упомянуть хаб «Информационная безопасность».
Обсуждение и последняя версия документа доступны вот здесь regulation.gov.ru/projects#npa=83642
Здесь речь не про иностранные подписи, а про юридическую значимость квитанций, сформированных службой DVCS, которые обладают ей в соответствии со статьей 6 ФЗ-63.
Не совсем так. Для того, чтобы квитанция DVCS была признана подтверждением того, что «квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)», этот DVCS должен функционировать в соответствии с российской нормативно-правовой базой (что обеспечено, никаких противоречий ни ФЗ, ни рекомендациями, ни стандартам нет) и иметь сертификат соответствия нашего регулятора, отвечающего за все, что связано с криптографией.
Если обратиться к Вашим предложениям: Да, действительно, так можно, почему бы и нет. Однако, потребуется механизм, который будет отслеживать действительность «комплекта ЭД+ЭП». Также имеет место быть. Причем в обоих вариантах можно выполнить повторное подписание с помощью архивной подписи в формате XAdES-A, CAdES-A. Служба DVCS – это один из вариантов организации ДАХ, кстати, находящийся на сертификации.