Вопрос по сертификации web-платформы

MZhack

New member
Сообщения
2
#1
Приветствую уважаемые форумчане!

Есть задача, которая требует творческого решения. Наиболее удобным вариантом является создание web ресурса, работающего в зсспд.

Информация, планируемая к передаче и обработке - имеет уровень от 0 до 3.

В связи с этим, я так понимаю, что необходимо использовать только сертифицированное по.

Поэтому несколько вопросов:
1) Какое ПО является сертифицированным и как это узнать?
То есть, могу ли я использовать в качестве сервера Apache или nginx? Какую бд могу использовать - MariaDB или Postgres Pro? Могу ли использовать PHP?
2) Сам код (html/css/js/php & etc) - подлежит сертификации?
3) Есть уже сертифицированные фреймворки php/js?
 

Карл

New member
Сообщения
418
#2
ты ожидаешь официальный ответ от пользователей форума ?
 

Montfer

New member
Сообщения
2 330
#3
серифицированы все пакеты, которые на основном диске и диске разработчика.
 

MZhack

New member
Сообщения
2
#4
ты ожидаешь официальный ответ от пользователей форума ?
Во-первых: не "ты", а "вы". Во-вторых: не знаете/не хотите/не можете ответить по делу - промолчите, ваши 5 копеек к делу отношения не имеют и никому не интересны. В-третьих: не ожидаю ничего, подскажут - хорошо, нет - рд сам в состоянии изучить.
серифицированы все пакеты, которые на основном диске и диске разработчика.
Из того, что успел изучить - сложилось понимание, что диск разработчика - не сертифицирован. Если не прав - подскажите, где читать? Спасибо.
 

ALSE_User

New member
Сообщения
377
#6
Цитата из https://wiki.astralinux.ru/pages/viewpage.action?pageId=137566491

Распространение действия сертификата соответствия ФСТЭК России №2557 на диск «Средства разработки»

При проведении сертификационных испытаний Операционной системы специального назначения «Astra Linux Special Edition» на соответствие требованиям сертификата ФСТЭК России №2557 диск со средствами разработки не входит в состав объекта оценки.
Программные компоненты из состав диска со средствами разработки предназначены для разработки и функционирования прикладного программного обеспечения в среде «Операционной системы специального назначения «Astra Linux Special Edition», не реализуют функций безопасности и не являются объектом оценки.
Таким образом, действие сертификата No 2557 на «Операционную систему специального назначения «Astra Linux Special Edition» на программное обеспечение диска со средствами разработки не распространяется.
Вместе с тем организация и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее - средства защиты информации) установлены в «Положении о системе сертификации ФСТЭК России», утвержденном приказом ФСТЭК России от 2018 г. No 55 (далее – Положение).
В соответствии с Положением обязательной сертификации в системе сертификации ФСТЭК России подлежат:
  • средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
  • средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации;
  • средства обеспечения безопасности информационных технологий, включая защищенные средства обработки информации.
Обязательная сертификация по требованиям безопасности информации в системе сертификации ФСТЭК России прикладного программного обеспечения, не реализующего функции по защите информации и не используемого для реализации мер защиты информации, – не предусмотрена.
На этапе аттестации информационной (автоматизированной) системы оценивается эффективность принятых мер и технических решений по защите информации. Защита информации является эффективной, если принимаемые меры реализованы с использованием сертифицированных средств защиты информации, к которым относится «Операционной система специального назначения «Astra Linux Special Edition», и исключают возможность несанкционированного доступа нарушителей к информации.
Таким образом, при условии функционирования разрабатываемого прикладного программного обеспечения в среде сертифицированной «Операционной система специального назначения «Astra Linux Special Edition» (сертификат соответствия No 2557), в том числе в условиях установленных политик управления доступом, а также обязательного условия отсутствия в нем собственных функций безопасности, дополнительные исследования для использования в составе аттестованных по требованиям безопасности информации информационных систем или сертификация прикладного программного обеспечения не требуются.
Вместе с тем, компетентное решение о необходимости сертификации принимает Федеральный орган по сертификации средств защиты информации ФСТЭК России на основании рассмотрения заявки и документации, представляемых разработчиком (изготовителем) в соответствии с действующими нормативно-правовыми актами.