Заказчику программного обеспечения системы необходимо, чтобы ПО соответствовало указанным им классам защиты информации от несанкционированного доступа по автоматизированным системам (АС) и по средствам вычислительной техники (СВТ).

Есть два руководящих документа:

Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".

Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Что здесь понимается под "Средствами вычислительной техники"? Сервер, операционная система, СУБД, веб-сервер, сервер приложений? Что понимается под АС хорошо описано в ГОСТ 34.003-90. А вот что понимается под СВТ, гостов не нашел.

Есть ли список, какие СУБД, web-серверы какому классу защищенности от несанкционированного доступа соответствуют? Кто ответственен за выполнение требований защищенности СВТ, заказчик или разработчик ПО?

kdvbmt2000Есть ли список, какие СУБД, web-серверы какому классу защищенности от несанкционированного доступа соответствуют?
реестр был там же, на сайте ФСТЭК, сейчас че-то не могу найти его там.

bmt2000Кто ответственен за выполнение требований защищенности СВТ, заказчик или разработчик ПО?

есть классы защищенности, которым соответствуют автоматизированные системы и средства вычислительной техники.
Например, конкретный софт, СУБД и ОС можно сертифицировать только по определенному классу. Потому что софт работает в рамках ОС, ОС работает в сети, сеть находится в рамках организации.

Собственно, все это написано в "общих положениях" первого документа, на который вы сослались.

Так вот. Например, СУБД должна обеспечивать определенную защиту доступа к данным в БД. Но СУБД не обеспечивает защиту компьютера и ОС, где она установлена. А значит, за защищенность компьютера с ПО отвечает именно заказчик.

Да, в первом документе про ОС написано, что относятся к СВТ, спасибо:

автор1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).

но пока нигде не нашел определения, что такое "общесистемные программные средства" т.е. основной вопрос, что туда можно относить?

kdvне знаю. но возможно, это что-то типа "проводник", "браузер", и т.п. В самом документе расшифровки нет, воткните в гугл
"общесистемные программные средства", там по крайней мере в первых двух ссылках уже понятно.
Руководящий документ1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).
Получается, что СУБД, веб-сервер не относятся к общесистемным программным средствам, поэтому к ним применяются требования по АС, а не СВТ. Теперь становится понятнее.

Появляется другая проблема: т.к. ПО, которое разрабатывает моя компания, использует PostgreSQL и Apache (но могут быть и другие СУБД и веб-сервер) то получается, что PostgreSQL и Apache тоже должны соответствовать необходимому классу защищенности АС? А т.к. PostgreSQL и Apache разрабатывался не нами, кто должен проводить их сертификацию? Возможно они уже прошли сертификацию, где узнать эту информацию?

kdv, спасибо за помощь!
Буду рыть дальше.