15.5.13

Как провести поиск НДВ в продукции американского происхождения

Межпраздничная дискуссия в блоге и в Фейсбуке в очередной раз высветила некоторые проблемы с оценкой соответствия в форме поиска недекларированных возможностей и доказывания их отсутствия. Если посмотреть на проблему с точки зрения американской компании. Таких исследований, к счастью, никто не проводил, но по моим личным оценкам из 65-70% средств защиты иностранного происхождения присутствующих в России, до 75-80% из них приходится на продукцию, изготавливаемую в США. Поэтому рассмотрение проблемы в таком аспекте является достаточно интересным для достаточно широкого круга специалистов (особенно в органах по сертификации, испытательных лабораториях, экспертных организациях и регуляторах).

Итак, недекларированные возможности. Даже сертификация на 4-й уровень их отсутствия требует предоставления достаточно чувствительной информации. Исходные коды только один из вариантов такой информации, причем далеко не всегда самый важный и критичный. Например, для компании, выпускающей программно-аппаратные, а не только программные средства защиты, гораздо более конфидениальной является информация о системотехнике, архитектуре, функциональные спецификации и т.п. Предоставление этой информации относится к лицензируемому виду деятельности и требует разрешения от Бюро по промышленности и безоппасности, являющегося частью Министерство торговли США. Задача данного подразделения - блюсти экономические интересы США и контролировать среди прочего экспорт высоких технологий и технологий двойного назначения. В частности в т.н. Commerce Control List (CCL) есть параграф "5A002 "Information security" systems, equipment and components therefor, as follows". В него (он не единственный, но один из основных) входит немало того, что требует получения лицензии американского Минпромторга. Также к контролируемым относятся позиции 5A992 и 5B002. Иными словами первый вопрос, на который надо ответить, ЧТО экспортируется и средства защиты, включая средства шифрования, а также элементы, разработанные для работы средств защиты (специальные модули, операционные системы, приложения, микросхемы и т.п.) полностью подпадают под экпортные ограничения из США.

Однако ответа на вопрос ЧТО недостаточно для принятия решения об экспорте средств защиты. Надо ответить на вопрос КУДА, т.е. определить страну, в которую будет экспортироваться средство защиты. У Минпромторга есть регулярно обновляемая т.н. Commerce Country Chart, которая содержит список стран с указанием причины экспортного контроля. Как можно заметить Россию включили в этот список по направлениям "химическое и биологическое оружие", "национальная безопасность", "стабильность в регионе" и "преступность". Иными словами, средства защиты, будучи контролируемыми вообще, могли и не попасть под контроль для России, но увы... Если посмотреть на CCL, то в нем против каждой контролируемой позиции указаны причины (для средств защиты - это "национальная безопасность" и "антитерроризм".

Затем мы должны ответить на вопросы КТО будет использовать то или иное средство защиты. Например, поставка средств защиты в государственные органы контролируется более серьезно, чем в коммерческие предприятия и уж тем более в малый бизнес. А вообще в США есть несколько "черных" списков стран, организаций и лиц, которым запрещена поставка той или иной продукции. И, наконец, последний вопрос - ЗАЧЕМ. Может быть в производстве оружия массового поражения?

Исходя из ответов на эти 4 вопроса (на самом деле достаточно первых двух) делается вывод о том,  что в Россию из США средства защиты, средства шифрования, а также сопутствующая им информация попадает только после получения соответствующего разрешения американского Минпромторга. В каких-то случаях, это делает легко и автоматически (производителем), в каких-то - требуется серьезная и длительная процедура согласований и обоснований. К последним относится и предоставление исходных кодов, архитектуры, функциональных спецификаций, различные схемы чипов и т.д.

Что это все значит? Только одно - сертификация средств защиты, разработанных американской компанией, на отсутствие НДВ, даже если физически программисты сидят в Индии и сборка средства защиты осуществляется в Китае, требует получения соответствующего разрешения Бюро промышленности и безопасности Минпромторга США. Если же у компании нет соответствующей лицензии, а сертификат на НДВ есть, то это значит, что произошло одно из трех событий:
  • Американская компания нарушила американское законодательство. Это очень чревато для американского производителя. Очень! Рисковать своим бизнесом ради сомнительной выгоды продать своих средств защиты в Россию на дополнительные даже 20 миллионов долларов никто не будет.
  • ФСТЭК наложила множество ограничений на использование сертифицированного средства защиты и все они должны быть прописаны в технических условиях, прилагаемых к сертификату (и которые часто скрываются заявителем или испытательной лабораторией).
  • Испытательная лаборатория или орган по сертификации закрыли глаза на отсутствие исходных кодов или использовали какие-нибудь обходные маневры.
Иногда звучит тезис, что достаточно вывезти специалистов сертификационной лаборатории в США и они там проведут все проверочные испытания, после чего, вернувшись, смогут выдать заключение о присутствии или отсутствии недекларированных возможностей. При этом считается, что никаких исходных кодов передавать в Россию не надо и поэтому никаких лицензий Минпромторга получать не требуется. Это неверно. Под экспортный контроль попадает не передача исходных кодов, а передача чувствительной информации, спектр которой очень широк и часть этой информации обязательно попадает в отчет, который пишется (или как минимум проверяется и читается) уже в России. Поэтому если исходные коды и не передаются, то передается архитектура защитного средства, его функциональные спецификации и другая конфиденциальная информация. А это также требует получения лицензии Минпромторга США.

Собственно к чему этот рассказ? К тому, что передача исходных кодов за пределы России - это не такая уж и простая процедура (срок получения лицензии американского Минпромторга может составлять до года и более). И идет на нее далеко не каждый разработчик средств защиты - требуется серьезное обоснование (бизнес-кейс). И очевидно, что процесс поглощений и слияний также влияет на перспективы того или иного иностранного игрока, действующего в России. Если у какой-либо неамериканской компании был сертификат на отсутствие НДВ, то такой сертификат может быть и не продлен после ее поглощения или срок его получения существенно возрастет по сравнению с первоначальными оценками.

48 коммент.:

Unknown комментирует...

К тому, что передача исходных кодов за пределы России - это не такая уж и простая процедура.
Или за пределы США?

Алексей Лукацкий комментирует...

Да, США. Спасибо

Unknown комментирует...

А вот интересно, что должно остаться в испытательной лабаратории после испытаний в качестве доказательства того, что исходные коды были получены и изучены? Сами же исходные коды должны быть уничтожены после всех испытаний?

Анонимный комментирует...

По крайней мере (без учета "серой зоны") остается перечень файлов исходных текстов и контрольная сумма каждого файла. Ну и программно-методические и отчетные материалы. Акты приема-передачи, отбора образца, идентификации, контрольной сборки...

Сергей Борисов комментирует...

Доказательство - журналы специального ПО, протоколы, подписанные специалистами и выборочные скриншоты в процессе.

Для НДВ4 требуется скомпилировать исходный код на стенде и снять контрольные суммы.
Про передачу самого исходного кода кому бы то ни было речи не идет?!

Или я не прав, тогда покажите где такое требуется.

Но если и для такой компиляции требуется лицензия Минпромторга США, как говорит Алексей, это действительно значит что у американских продуктов мало шансов получить сертификаты на НДВ.

Вроде бы сейчас таких немного:
McAfee, IBM, CheckPoint, Symantec
Вполне может быть что 4 разрешения были получены?

Евгений комментирует...

Сергей, подскажите а какие НДВ могут быть выявлены если сам исходный код не проверяется, а только компилируется?

Сергей Борисов комментирует...

А кто говорит о выявлении НДВ?
Есть разные уровни контроля. 4-тый самый низкий.

Какой-то контроль он выполняет и какие то цели достигаются.

Хотя бы то, что ПО фиксируется в том виде, в котором приходит на испытания.
И потом в него не будут вносится изменения (закладки).

Анонимный комментирует...

А чего гадать: http://goo.gl/dXuI3

Евгений комментирует...

Я читал требования к 4 уровню, мне просто хотелось бы понять какой здесь "контроль НДВ", если фактически контроль недекларированных возможностей то и отсутствует. Ну да это риторически...

Анонимный комментирует...

Евгений.
А поступали предложения усилить 4 уровень контроля избыточностью и поиском критических конструкций...
но...

Lana комментирует...

Алексей, здравствуйте! Я бы хотела у вас взять комментарии для статьи. Как можно с вами связаться? спасибо!

Анонимный комментирует...

2 mike:
народ всякое говорит...

Чего ж вы с таким отношением... Машете флагами что вы такие замечательные измазались в такой лаже как сертификация?..

"Все продукты *** имеют сертификаты ФСТЭК России, удостоверяющие соответствие высоким классам защищенности, что позволяет широко использовать линейку *** для защиты высококритичных информационных систем органов государственной власти, государственных и коммерческих предприятий и организаций любого масштаба, включая информационные системы персональных данных до 1 класса и автоматизированные системы до класса 1Г, включительно."

Где же тут высокие классы если до аж 1Г!!! Для 1Г как раз 4 НДВ и нужен ну и ТУ (которые видимо тщательно скрываются?)...

Может опубликуете? Подписанные полные... Пройдемся по ним...?!

Анонимный комментирует...

Оказывается "народ" порадовался давно (читаем комменты): http://www.tsarev.biz/news/novye-sertifikaty-fstek-na-resheniya-stonesoft/

Так что же? Михаил Романов Директор по развитию бизнеса в России, СНГ и странах Балтии Stonesoft боится опубликовать сертификаты, формуляры и ТУ на странным образом сертифицированные поделки?

Анонимный комментирует...

Там собрался у ворот
этот как его НАРОД
...
Так документы то опубликуете?
Или есть чего скрывать?
НАРОД должен знать чему соответствуют поделки!

Анонимный комментирует...

Михаил, мне не интересно на какой марке авто вы ездите...

Но, похоже, у вас не все чисто...

Вывод:
Stonesoft боится опубликовать сертификаты, формуляры и ТУ на странным образом сертифицированные поделки! Можно догадаться что там неликвид или может их вообще нет ?!

Анонимный комментирует...

Почему же Михаил сертифицировал так странно...
Цитата:
"mike Says:
октября 19, 2010 at 13:07
Сертификат сделан для использования везде где требуется сертификация.
Класс НДВ – 4 пока получился из за длительности такой сертификации – должен был быть 3 класс – просто очень уж долго было."

А теперь заглянем в два любопытных документа:
1.
http://www.docstoc.com/docs/147198680/436576-3

2.
http://goo.gl/25EoE

Так может быть для этого ?..
И эти люди запрещают нам ковыряться в носу ?!

Сергей Борисов комментирует...

Евгений Родыгин, а в чем проблема то?
Любая сертификация СЗИ продукции делается для того чтобы занять или попасть на определенный рынок и в конечном итоге повысить продажи.

Разве у коммерческой компании могут быть другие цели?
Нельзя это представлять как обвинение.

К слову сказать партнерам и заказчикам они передают все необходимые документы.

Почему не публикуют? Наверное есть причины.
Западных вендоров сертифицированных в ФСБ у нас фактически нет. Публикация всего набора документов = минус 3-6 месяцев работы для конкурентов.
Почему бы им не защищать свои вложения?

ZZubra комментирует...

Прикольно составлено ТЗ )))) Это ж просто классика!!!! Сам продукт не назван, но явно и четко прописан номер ТУ: "...по 4 уровню контроля и технических условий ТУ 4012-001-89625543-09"
Нука предъявите мне набор разных продуктов (разных производителей), имеющих сертификацию по ТУ одного из них! Это ж прям в "роспил" (http://rospil.info/) просится )))) Жесть.

PS А ведь сейчас охота на ведьм идет. Как бы прокуратура не прочитала, чего здесь написано и не заинтересовалась. Они могут. Вон у нас чего делается http://biz.cnews.ru/news/top/index.shtml?2013/04/18/526260 Цена вопроса 70 тыщ руб.

Анонимный комментирует...

Михаил: )))
Про Гамму не смешите... Я обещал не озвучивать почему ушел...
Но за пару лет я стал зам Директора, взростил 3 лаборатории, грамотами и благодарственными письмами обвешан и т.п.

Кстати Гаммовцам привет передавайте при случае... ;) Я до сих пор многим помогаю...

Чойта вы все стреляете и все мимо )))

Может я про себя вообще рассказ напишу а то скукота...
У всех в пушку, но все друг друга кусают )))

А Эла есть за что уважать, извините, он меру знает в отличии... И дает право на ошибки себе и другим...

Анонимный комментирует...

Сергей, дело в том, что поставляют они формуляры и ТУ... Можно запросить... Косяк в том, что в ТУ подписанном разработчиком или производителем, который официально является не Stonesoft а, внимание: ООО "Новые технологии безопасности" написано одно, а в рекламных материалах нечто другое... и уверен, сложилась ситуация, когда говорят что продукт сертифицирован, на на самом деле сертифицировано только 10% от рекламируемого! А несертифицированный функционал использовать для защиты нельзя. Потребителя вводят в заблуждение:
и получается вот это: http://kaskadsecurity.blogspot.ru/2013/04/blog-post_26.html

Сергей Борисов комментирует...

Евгений Родыгин, ну пока то вы документов не видели, а уже заявляете про 10%. Не голословно ли?

Из комплектов документов по сертификации, которые мне приходилось видеть, ни у одного производителя четко не понятно какие именно функции и как проверялись.
Если это и написано, то во внутренних документах испытательных лабораторий или органов по сертификации.

То что достается пользователю (в любом сертифицированном продукте):
-на соответствие каким требования сертифицирован
-какими функциями обладает продукт
-в какой среде функционирует
какие ограничения
-правила которые должны соблюдаться при эксплуатации

Что у С-терра, что у Стоунгейта что у Випнета - всё примерно одинаково коротко и непонятно.

Но при сложившейся ситуации, когда сертификаты нужны только для выполнения формальных требований, это никого не волнует.

Сергей Борисов комментирует...

пока требования к сертификатам - это регуляторные требования
а не бизнес требования

Анонимный комментирует...

Сергей:
Каюсь не видел, но некоторые есть. Остальные получить не проблема. Но разве кто то требует продолжения банкета?..

Общая беда в том, что пользуясь неинформированностью (а бывали смешные случаи когда представляли санитарные сертификаты и т.п.)
Сэйлер (будем считать что по незнанию в лучшем случае) заявляет потребителю, что его поделка сертифицирована. И потребитель думает что весь перечисленный на сайте функционал сертифицирован.

Но тут подвох. Автомобиль сертифицирован на то, что у него открывается багажник а потребителю кажется, что сертифицировано что все двери открываются.

В результате архитектор целевой системы строит СЗИ исходя из этого предположения. А потом оказывается, что антивирус, фаерволл и другие вкусности не сертифицированы! Сертифицирован не весь функционал и потребитель узнает что он нарушает требования по применению сертифицированных СрЗИ!

Ну да, рынок слаб, это мало кого волнует. Но если кто то задастся целью...

Вот и получается, что НЕПОФИГ и нужно страховаться... И тут небрежность становится проблемой!

Anosov комментирует...

Евгений:
Гнать в шею такого архитектора, тем более, если он не разбирается в теме по сертифицированным продуктам и в системе сертификации, а только шашкой махать и получать за это з.п.
Если человек грамотный, то он разберется в теме с СЗИ и получит необходимые данные для написания проекта, использующего сертифицированные СЗИ.
Это не небрежность, это неквалифицированность...
ПР есть ПР. Реклама не говорит о содержимом продукции....) Как пример великий производитель булок от клоуна и о их здоровой пищи. И как на другом континенте данная продукция повысила здоровье их стране. И т.д. это про рекламу и как ее воспринимать, но это не тема для обсуждения здесь.

Сергей: вынужден не согласиться про коротко и не понятно, т.к. кто разберается в этом, тот знает где искать. Мне вот преподаватели в ВУЗах научили, что всех формул не запомнищь, но зато надо знать где искать!

Статья довольна интнресная, но очень уж поверхостная.
и как я понял один из ведущих производителей никак не может получить "лицензию Минпромторга США" и связано это с "национальной безопасностью" и недавним задержанием в Москве шпиона США)
уж не сдержался) извиняюсь за возможные ошибки и за краткость - писал с телефона

ZZubra комментирует...

>>Мне вот преподаватели в ВУЗах научили, что всех формул не запомнищь, но зато надо знать где искать!

Именно такие "преподаватели" развалили систему образования и опустили уровень образования ниже плинтуса. Ведь они не уточняли, что это не относится к закону Ома, а относится только к дифференциальной форме закона Максвелла и то только из-за того, что Вы знаете его в интегральной форме и знаете переход от одной формы к другой. Зато теперь имеем полный игнор образования и развития памяти и ума (как синергетического эффекта количества информации в голове) начиная со школы и заканчивая кандидатами и докторами "наук". Вот хоть убейте, не помню чтобы Капица, Курчатов, Королев и другие прорывные научные светила хоть раз где-то произнесли эту фразу-убийцу образования.

PS Гнать надо любого преподавателя или управленца в сфере образования и из школы и из ВУЗа, который не то что произносит такое, а даже думает так.

Алексей Лукацкий комментирует...

Anosov: как раз наоборот - у нас такая лицензия есть и достаточно давно

Евгений комментирует...

>Если человек грамотный, то он разберется в теме с СЗИ и получит необходимые данные для написания проекта, использующего сертифицированные СЗИ.

Ага, и после изучения сертифицированных возможностей сертифицированных СЗИ поймет, что только на них защиту современной ИС не построишь. Пока сертификация остается хотелкой регулятора по поддержанию рынка отечественных СЗИ, а не необходимостью для бизнеса, в коммерческом сегменте это так и останется профанацией.

Anosov комментирует...

ZZuba:
Специально для этого я написал много текста и не стал сокращать, пользуйтесь! Стезя у всех разная)
Речь шла про ТУ и про то что там написано. И хороший специалист знает где и как его можно прочитать(ТУ) или уже знает, если строит систему защиты. А Вы о перевели на систему образования. Ниочем) считаюэтозабыть!
Алексей: согласен, что есть, но из статьи не понятно) один из мировых лидеров получил сертификат с проверкой на НДВ.
Внимание вопрос: на какой продукт у Вас имеется сертификат с проверкой на НДВ (и есть лицензия выше озвеченного органа по этому вопросу- разрешение)? Достаточно номера сертификата.
Скажу честно, реестра под рукой нет и вспомнить не смог!

Алексей Лукацкий комментирует...

Anosov: мы работаем над получением нужных сертификатов. Наличие разрешения на экспорт из США еще не означает автоматического получения сертификатов в России

Анонимный комментирует...

2 mike:

- демагогия в том, что идет бла бла бла а документы скрываются. Почему скрываются совершенно ясно.

- я естественно никакие документы не опубликую и не передам, потому как у меня соглашения о неразглашении.

- соответственно вы перешли в позицию "а все так делают"...

- ваши попытки перейти на личности тоже уже не смущают. Видимо фактура закончилась.

Анонимный комментирует...

Вот умора...
вам ГОСТ 2.144-95 показать?
Мне совсем не интересно как вы его оформили... Мне интересно на соответствие чему ваша подделка сертифицирована!
Вы говорите соответствует ТУ к тому же не Stonesoft а какого-то ООО!

Ну покажите ТУ! Может там написано одно требование о том что коробка должна быть зелёной и все! Может там ограничение написано что подделку вообще нельзя использовать в госорганах... Да что угодно!

Анонимный комментирует...

Подделка это андроид шутит...конечно поделка.

Как что делается я извините знаю лучше ;)

Теперь к ТУ...По некоторым разделам ТУ вообще не содержит Никаких технических секретов! Одна реклама!

Аннотация - сплошная реклама !
Тех. Требования - расписывается что поделка делать может! Тут вендор изгаляется как может. Указывает все преимущества все качества все плюсы!
Методы кантроля - минимально достаточно или с косвенным показом преимуществ доказывает что заявленное в Тех.требованиях блестяще реализовано!
Условия применения - сплошь реклама применения поделки показывающая преимущества продукта!

Нормально адаптированный продукт! Ту на сайте подписанное и разработчиком и регулятором да ещё сертификат - красота! Потребитель открывает Ту и офигивает от того какой продукт!

А у вас что? Какие нафиг секреты? Вы что скрываете? Все секреты реализации в ПЗ но у вас их нету...

Не нужно лохматить бабушку :)))

Анонимный комментирует...

Михаил, насчёт моей квалификации прекращайте... Это далеко не по адресу...

Анонимный комментирует...

Михаил! Помните фразу в кино: "дяденька, вы что дурак?.."
Я вам 5 раз пишу что соблюдаю соглашения о конфиденциальности!!!

Что за детский сад: покажи приписку а я тебе свою покажу...
Повторять чтоли посты по 2 раза?

Вы заявили соответствие ТУ!
Покажите ТУ - может у вас подделка по ТУ должна быть зелёной и все! Да я угадал?

Алексей Лукацкий комментирует...

Помнится был сканер безопасности, у которого в ТУ был просто перечислен список проводимых им проверок. И проверялост только то, что сканер может сканировать.

Анонимный комментирует...

Михаил... Я уже сомневаюсь в адекватности...

6 раз: я не нарушаю соглашений о конфиденциальности... Прочитайте по буквам! Если не получается то не мне а вам к доктору...

4 раз: если вы заявили соответствие ТУ но ТУ скрываете это говорит о том что там лажа! Прочитайте по буквам! Для нормальных компаний ТУ является дополнительным бонусом но не для вас !

Так что, вы ваше ТУ боитесь засветить? Что там страшного? Что народ увидит и что станет причиной отзыва аттестатов аккредитации и аттестации ОИ?.. Этого боитесь?

А вообще хоть на один вопрос можно получить внятный ответ?

Вопрос на 2 копейки. Кто является разработчиком сертифицированной продукции Stonesoft? Stonesoft или то самое ООО?

Алексей Лукацкий комментирует...

Миша, ты не понял. В том случае в ТУ был просто список имен файлов, содержащих проверки. А сертификация заключалась в проверке наличия этого списка файлов. Больше ничего не проверялось. Зато сертификат был

Анонимный комментирует...

Михаил:
1 - врете именно вы потому что нет у вас лицензий и сертификатов! Есть у подставной конторы!
2 - материалы у меня есть, но мне нужно чтобы их слили именно ВЫ в этом смысл. Чтобы вы не ныли что это не ваши...
3 - а то, как были сертифицированы поделки разработанные зарубежной конторой не имеющей соответствующих лицензий - это вы не Сенькину, это вы прокурору будете рассказывать ;)
4 - ТУ на конкретное изделие Сертификат 2157 (ТУ 4012-001-89625543-09) а не какую то рыбу нужно опубликовать народу о котором вы так печетесь а не мне...

Ваше постоянное выкручивание и вранье, непонимание предмета и нападки просто ошеломляют!
Вы не ответили ни на один вопрос, чем подтвердили все предположения о вашей деятельности.

Повторюсь:
В этой вашей истории меня смущает только одно: как так получается, что Директор по развитию вместо того чтобы обеспечивать хозяевам бизнеса безопасность, устойчивость бизнеса открыто организовывает серые схемы легализации продукции, подставляет под риски компанию которая его наняла. При этом участвует в схемах конкурсов достойных Начального и публично примазывает ФСТЭК и другие организации...
Неужели так оголодали... Неужели у компании нет ресурсов работать без перекладывания рисков на потребителя?! Вы же не просто дискредитируете компанию Stonesoft вы открыто говорите что вам серые схемы подходят лучше... Неужели тактическая выгода важнее стратегической для компании которой совсем скоро может не остаться!?

Анонимный комментирует...

Михаил, пока вы не смогли опровергнуть ни одного моего утверждения!

НИОДНОГО! Вы можете называть их идиотскими, тупыми, некомпетентными, можете рыть что угодно на меня, оскорблять но опровергнуть не сможете НИОДНОГО!

Анонимный комментирует...

Михаил, вам как малышке сделать подборку вопросов и утверждений из предыдущих постов? Вы их не читаете или не понимаете?

Могу 2 раз повторить... у меня есть... хотя чего то я на вас время много трачу...

я думал человек серьезный, заранее продумывал... Готов на уровне высшего менеджмента серьезной компании серьезно отвести от себя все вопросы!

А вы решили поиграть в непонимающего идиота...
Мне с вами не интересно...

Хотя должен признаться и извиниться перед читателями за моделирование идиотизма.

При этом хочу закончить двумя моментами:
1 - уважаемые вендоры! Относитесь к легализации в РФ серьезно.
2 - уважаемые потребители! Имейте в виду, что такая легализация, может привести к тому, что заинтересованные лица, инициируя прокурорские проверки, уголовные дела и т.п. могут лишить продукцию таких вендоров сертификатов, приостановить или прекратить их деятельность в РФ, что поставит вас в щекотливое положение.

Если не верится, то сообщаю что пару лет назад такая ситуация была, вендор со всей своей продукцией был прикрыт. А все потому что организаторы серой схемы потеряли всякую меру...

Анонимный комментирует...

а вот такие специалисты как Михаил не могут защитить работодателя. Они только словоблудием сильны...

Анонимный комментирует...

И чо? ;)

Анонимный комментирует...

И чо?

Unknown комментирует...

2mike:
"ТУ интересует на 99 процентов сотрудников других лабораторий ."

Я отношусь к, как Вы считаете, 1% (?) сотрудников не лабораторий. И выскажу свое мнение.
Однако Вы не правы. ТУ и формуляр меня интересуют в первую очередь после сертификата. Если вендор/заявитель их мне не дает или дает при условии партнерства и т.д., то такие трудности мне ни к чему, я найду другой продукт с нужными мне сертифицированными параметрами.

Максим Кирюшов комментирует...

У меня возник один идиотский вопрос:
Как проводится испытания НДВ4, в части контроля соответствия исходников - загрузочным файлам, ежели при каждой повторной компиляции, подавляющим большинством компиляторов, меняется и сам исполняемый файл и его контрольная сумма? Соответственно, испытательная лаборатория никогда не получит такого же Exe-шника, какой был предоставлен на испытания!

Анонимный комментирует...

2 Максим
Используются два основных метода:
1 - проводится контрольная сборка и полученный результат закладывается в архив.
2 - проводится множество сборок с разными параметрами времени сборки даты и т.п. Полученные результаты анализируются на предмет изменений.

Ну еще бывает экзотика с промежуточными объектными файлами...

Unknown комментирует...

Евгений, а не могли бы вы поподробнее описать каждый из двух методов, а то не вполне понятно.
1. Закладывается в архив? Для чего?
2. Чем поможет многократная сборка? Понять, что этот exe-файл - получается из этих исходников? Это вроде и после одного раза ясно. Собрали, HEX-редактором сравнили... Меня скорее интересует формальная сторона. Ведь в РД НДВ четко указано, что при проверке на соответствие, должны совпадать контрольные суммы полученных в результате сборки файлов. Или в методике (программе) испытаний, делается пометка о невозможности подобной проверки?
PS: Про третий метод, не поверите, но и объектники *.Dcu меняются при каждой новой сборке. Компилятор Borland пишет туда Guid сборки.

Анонимный комментирует...

2 Максим
Подробнее - извините, сфера интересов...
Про "объектники" борланда что делфи, что другие - да больше всего проблем с ними...