AR_Favorit » 30 мар 2007, 13:26
Давно собирался написать по этому поводу - но вот наконец-то и собрался.
Что же получается с экспертизой на отсутствие недекларированных возможностей и довеском к "классическому" определению "по изменению процента выигрыша"?
Похоже, в данном случае изначально законодатель просто немного поленился:
РД, который Â «Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей», он не очень-то подходит в случае программы ИА - программа ИА не обрабатывает информацию, а генерирует информацию независимо от входных данных!!! Все входные данные для ИА - лишь команды запуска процесса генерации этой самой информации и управления формой ее вывода!
Вместо этого документа должен быть похожий, но не такой, а написанный специально про ИА - чтобы в нем было определено, какие функциональные блоки обязательно содержит программа ИА, какие из них подлежат какому контролю и какие требования к какому блоку предъявляются.
Но этого не сделано, взят "похожий" документ.... Но на основании этого документа предъявляются требования к автоматам отечественного производителя СОВЕРШЕННО ИНЫЕ, нежели к автоматам производителя зарубежного. Что есть не совсем хорошо.
Как быть? Требовать "буржуев" пройти сертификацию своих ИА в ЕВРААС? Так пошлют, это с их точки зрения нелогичное требование. Многие из них засертифицированы в "более других" конторах, занимающихся именно сертификацией оборудования для ИБ, и предъявляющих для сертификации очень четкие вполне обоснованные требования как к конструкции оборудования, так и к программам.
Об отмене "написанного пером", речи, разумеется, не идет.
И тогда делается простой ход: "замыливание" использованного понятия - путем добавления разъяснения, каких именно недекларированных возможностей быть не должно.
То бишь дали "задний ход", но не так, как следовало бы - просто внести изменения в "Положение о лицензировании производства...", а именно так, как делается: "по изменению %" сначала появляется в письме Шаталова, затем в метрологическом акте, ну и становится как бы "общепринятым". Хотя действительно нигде оно НЕ ОПРЕДЕЛЕНО.
При этом остаются и волки сыты, и овцы целы:
1) "Положение о лицензировании производства..." остается действовать в неизменном виде
2) Роспром , выдавший уже лицензии, как правильно было подмечено, де-юре НЕЗАКОННО - остается в белом костюме, равно как и получившие эти лицензии.
3) ЕВРААС, получающий непосредственную выгоду от своей "добровольной сертификации" становится весьма управляемой извне организацией, которая не будет делать в отношении "нежелательных" производителей никаких поблажек...
Все как и раньше - получилась нормативка, нацеленная на соблюдение интересов определенной узкой группы лиц, как бы это ни прикрывалось необходимостью защиты прав игроков и т.д.
Почему я так говорю?
Потому что я уверен, что будет или уже есть, например, лицензия на производство автоматов ЧИ с программами игрософта.
А в то же время я могу запросто раз в несколько (да даже ежедневно) инитить и наигрывать плату игрософта - и реальный % отдачи (для клиентов) будет далек даже от старых 75%... И ни по какому закону меня, как владельца ИА нельзя будет привлечь к ответственности!!!
А вот в результате изначальной лени ли это или так и было задумано Â (я не про игрософт, а про получившуюся нормативку) - знают только те, кто это сделал...
С уважением, AR