LINUX.ORG.RU

[java][linux]Правовые основы разработки


0

1

Здравствуйте, коллеги.

Передо мной с коллегами встала задача оценить возможность разработки одной большой информ. системы. В качестве одного из требований будет соответствие закону о защите перс. данных, предстоит сертификация и т.п. Предполагается, что система будет развернута на линуксе, имеющем сертификацию СПТ (вероятнее всего Альт), в качестве РСУБД будет Оракл, ну а логику мы напишем на java под какой-нибудь glassfish.

По последнему как раз вопрос, можно ли его использовать в системах обработки перс. данных, может кто сталкивался? Возможно и не glassfish, а какой-нибудь jboss. Короче, как у открытых серверов приложений и всяких контейнеров типа tomcat с безопасностью с точки зрения «органов».

Я в вопросе не просвящен, интернеты ни о чем не говорят, нужен минимальный ликбез. Иначе все может свестись к покупке weblogic, который наверняка сертифицирован за такие-то деньги, или вообще win закупят с православным dotnet. Мне, как разработчику, хотелось бы избежать рабства технологий, в которых я не совсем компетентен, ну и вообще оценить степень своей свободы.

Если там только персональные данные, то man ГОСТы 28147-89, 34.10-01, 34.11-94.

expelled ★★ ()

> В качестве одного из требований будет соответствие закону о защите перс. данных,

имеющем сертификацию СПТ (вероятнее всего Альт)
Короче, как у открытых серверов приложений и всяких контейнеров типа tomcat с безопасностью с точки зрения «органов».

У открытых и соответсвенно не подлежащих сертификации никак. То есть не одобренно. Но если у тебя бумага от СПТ то в сертифицируемый дистр должен входить какой-нибудь JBOSS (и не только он), и он соответсвует классу всего СПТ. Если ты простой разраб то в принципе тебе это должно хватить.

antares0 ★★★ ()
Ответ на: комментарий от expelled

Это поправки к закону, там про linux и java ничего не сказано. Я ж не юрист, а программист, мне бы помог рассказ об существующем опыте. Блин, да не может быть, чтобы никто с этим не сталкивался. Сейчас много контор, всяких бюджетников с этим сталкивается. Собственно интересует, как с компетентными органами общаться, если в качестве платформы выбрана java?

stateofart ()

Но если ты внезапно отвечаешь за серификацию, то должен знать что классы защиты бывают разные, что модель угроз пишется по конкретный сертефицируемый субъект, а не под JBOSS (забудь этот детский лепет) и даже (прости родина) не под ALT. И вобще у тебя аппаратно-програмный комплекс или даже система (забыл ГОСТ). А система обеспечиваеющая работу предприятия в том числе и защиту персональных данных состоит не только и БД и сервера приложений, но из НСИ, Персосонала соотвествеющего утвержденным требованиям, самих утвержденых требований к персоналу. К самому списку подходить иронически, но если серьезно все это долно быть оформлено бумажно. И про glassfish в этот момент лучше забыть, вне зависимомти есть он под грудой бумаги или нет. Ну что-то типа «Утвежденый пречень мер по недопущению несанкционированого доступа к персональным данным», который разработан: приказ №, исполнитель; Внедрен: приказ №, исполитель, подпись, печать.

antares0 ★★★ ()
Ответ на: комментарий от antares0

А я не отвечаю за сертификацию. Я разработчик, и на данном этапе общаюсь с аналитиком на предмет выбора платформы. Всю работу по сертификации и формулирование правильных ТЗ сделает за меня другой дядя, который сам не очень-то знаком с густонаселенным миром java. На данном этапе я могу повлиять на выбор платформы как аргументами технического толка, которые могут не воспринять, так и аргументами нормативными, типа проще будет пройти сертификацию или сложнее. Я не очень разбираюсь в законе о перс. данных, поэтому спросил совета о выборе платформы и о том, имеет ли это вообще значение. Если что, класс защиты к3 или к2. Не хочу попасть в ад вместе с незнакомым сервером приложений, дальше которого ступить нельзя. Кстати, чтобы два раза не вставать. Насколько хорош или плох weblogic, нужен ли он?

stateofart ()
Ответ на: комментарий от stateofart

> Насколько хорош или плох weblogic, нужен ли он?

Во времена BEA был одним из лучших. Не знаю, как сейчас после покупки ораклом.

dave ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.