LINUX.ORG.RU

[java][linux]Правовые основы разработки

 ,


0

1

Здравствуйте, коллеги.

Передо мной с коллегами встала задача оценить возможность разработки одной большой информ. системы. В качестве одного из требований будет соответствие закону о защите перс. данных, предстоит сертификация и т.п. Предполагается, что система будет развернута на линуксе, имеющем сертификацию СПТ (вероятнее всего Альт), в качестве РСУБД будет Оракл, ну а логику мы напишем на java под какой-нибудь glassfish.

По последнему как раз вопрос, можно ли его использовать в системах обработки перс. данных, может кто сталкивался? Возможно и не glassfish, а какой-нибудь jboss. Короче, как у открытых серверов приложений и всяких контейнеров типа tomcat с безопасностью с точки зрения «органов».

Я в вопросе не просвящен, интернеты ни о чем не говорят, нужен минимальный ликбез. Иначе все может свестись к покупке weblogic, который наверняка сертифицирован за такие-то деньги, или вообще win закупят с православным dotnet. Мне, как разработчику, хотелось бы избежать рабства технологий, в которых я не совсем компетентен, ну и вообще оценить степень своей свободы.



Последнее исправление: stateofart (всего исправлений: 1)

Если там только персональные данные, то man ГОСТы 28147-89, 34.10-01, 34.11-94.

expelled ★★
()

> В качестве одного из требований будет соответствие закону о защите перс. данных,

имеющем сертификацию СПТ (вероятнее всего Альт)
Короче, как у открытых серверов приложений и всяких контейнеров типа tomcat с безопасностью с точки зрения «органов».

У открытых и соответсвенно не подлежащих сертификации никак. То есть не одобренно. Но если у тебя бумага от СПТ то в сертифицируемый дистр должен входить какой-нибудь JBOSS (и не только он), и он соответсвует классу всего СПТ. Если ты простой разраб то в принципе тебе это должно хватить.

antares0 ★★★★
()
Ответ на: комментарий от expelled

Это поправки к закону, там про linux и java ничего не сказано. Я ж не юрист, а программист, мне бы помог рассказ об существующем опыте. Блин, да не может быть, чтобы никто с этим не сталкивался. Сейчас много контор, всяких бюджетников с этим сталкивается. Собственно интересует, как с компетентными органами общаться, если в качестве платформы выбрана java?

stateofart
() автор топика

Но если ты внезапно отвечаешь за серификацию, то должен знать что классы защиты бывают разные, что модель угроз пишется по конкретный сертефицируемый субъект, а не под JBOSS (забудь этот детский лепет) и даже (прости родина) не под ALT. И вобще у тебя аппаратно-програмный комплекс или даже система (забыл ГОСТ). А система обеспечиваеющая работу предприятия в том числе и защиту персональных данных состоит не только и БД и сервера приложений, но из НСИ, Персосонала соотвествеющего утвержденным требованиям, самих утвержденых требований к персоналу. К самому списку подходить иронически, но если серьезно все это долно быть оформлено бумажно. И про glassfish в этот момент лучше забыть, вне зависимомти есть он под грудой бумаги или нет. Ну что-то типа «Утвежденый пречень мер по недопущению несанкционированого доступа к персональным данным», который разработан: приказ №, исполнитель; Внедрен: приказ №, исполитель, подпись, печать.

antares0 ★★★★
()
Ответ на: комментарий от antares0

А я не отвечаю за сертификацию. Я разработчик, и на данном этапе общаюсь с аналитиком на предмет выбора платформы. Всю работу по сертификации и формулирование правильных ТЗ сделает за меня другой дядя, который сам не очень-то знаком с густонаселенным миром java. На данном этапе я могу повлиять на выбор платформы как аргументами технического толка, которые могут не воспринять, так и аргументами нормативными, типа проще будет пройти сертификацию или сложнее. Я не очень разбираюсь в законе о перс. данных, поэтому спросил совета о выборе платформы и о том, имеет ли это вообще значение. Если что, класс защиты к3 или к2. Не хочу попасть в ад вместе с незнакомым сервером приложений, дальше которого ступить нельзя. Кстати, чтобы два раза не вставать. Насколько хорош или плох weblogic, нужен ли он?

stateofart
() автор топика
Ответ на: комментарий от stateofart

> Насколько хорош или плох weblogic, нужен ли он?

Во времена BEA был одним из лучших. Не знаю, как сейчас после покупки ораклом.

dave ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.