Заказчик задал вопрос. Можно ли обеспечить “контроль целостности программного обеспечения” как часть требований к системе по обеспечению целостности. Вещь простая. Периодически присутсвует в требованиях к системам, но в ЛЭРС Учете этого нет?
В ЛЭРС УЧЕТ при проведении обновления выполняется контроль целостности файлов.
А можно это выполнить без обновления?
Нет, встраивать в ЛЭРС такие механизмы вещь достаточно бесполезная. Если кто-то получил возможность внести изменения в программные компоненты на вашем компьютере после установки или обновления, ему ничего не стоит подредактировать и инструмент контроля, чтобы он выдавал, что всё в порядке.
Безопасность обычно строится на следующих принципах:
- Проверка контрольной суммы установочного пакета после его загрузки. В этом случае производитель на своём сайте пишет какая должна быть КС установщика после загрузки. Вот этого мы сейчас не делаем.
- Контроль системы при обновлении. Установщик это делает автоматически.
- Права в операционной системе должны быть настроены таким образом, чтобы только администраторы могли вносить изменения в программные компоненты. Наш установщик и наша программа обновления так же это обеспечивают.
Тогда вернемся к началу. То, что я написал вначале - одно из формальных требований в ТЗ на систему АИИС КУТЭ к безопасности систем.
Ноги в конкретном случае растут из ФСТЭК России от 18 февраля 2013 г. N 21. Приказ имеет косвенное отношение к АИИС, он про персональные данные, но требования безопасности подтянули из него. Это одно из многих которым вроде не сложно соответствовать. Начал с этого. Отсюда и вопрос.
Вы сделаете необходимые изменения, чтобы соответствовать таким требованиям
Формально контроль целостности при обновлении системы есть. Другие изменения мы не планируем, так как это задача других компонентов системы, в частности самой операционной системы.