Дистрибутив: различия между версиями

Материал из НП ППП вики
Перейти к навигации Перейти к поиску
WWS (обсуждение | вклад)
Нет описания правки
м Защитил страницу Дистрибутив ([Редактирование=Разрешено только администраторам] (бессрочно) [Переименование=Разрешено только администраторам] (бессрочно))
 
(не показано 26 промежуточных версий 2 участников)
Строка 7: Строка 7:
Источник: [https://protect.gost.ru/document.aspx?control=7&id=206872 ГОСТ Р 57429-2017 Национальный стандарт Российской Федерации. Судебная компьютерно-техническая экспертиза Термины и определения]
Источник: [https://protect.gost.ru/document.aspx?control=7&id=206872 ГОСТ Р 57429-2017 Национальный стандарт Российской Федерации. Судебная компьютерно-техническая экспертиза Термины и определения]


__________


см. также [[Программный комплекс]] , [[Программа для ЭВМ]], [[Пакет прикладных программ]]
см. также [[Программный комплекс]], [[Программа для ЭВМ]], [[Пакет прикладных программ]]


см. также '''Требования к дистрибутиву''': Дистрибутив должен иметь средства, подтверждающие отсутствие несанкционированных изменений. Подтверждение отсутствия фактов внесения несанкционированных изменений в дистрибутив осуществляется посредством сравнения контрольной суммы ([https://www.cryptopro.ru/faq/vychislenie-kheshei-s-ispolzovaniem-kriptopro-csp-40-po-gost-3411-2012 ГОСТ Р 34.11-2012]) переданного экземпляра дистрибутива и контрольной суммы ([https://www.cryptopro.ru/faq/vychislenie-kheshei-s-ispolzovaniem-kriptopro-csp-40-po-gost-3411-2012 ГОСТ Р 34.11-2012]) этого дистрибутива, указанной в документации на поставку. Требование не применимо к Сервисам типа: Публикуемые SaaS.
__________
 
Пример1: '''Требования к дистрибутиву''': Дистрибутив <u>должен иметь средства, подтверждающие отсутствие несанкционированных изменений</u>. Подтверждение отсутствия фактов внесения несанкционированных изменений в дистрибутив осуществляется посредством сравнения контрольной суммы ([https://www.cryptopro.ru/faq/vychislenie-kheshei-s-ispolzovaniem-kriptopro-csp-40-po-gost-3411-2012 ГОСТ Р 34.11-2012]) переданного экземпляра дистрибутива и контрольной суммы ГОСТ Р 34.11-2012 этого дистрибутива, указанной в документации на поставку. Требование не применимо к Сервисам типа: Публикуемые SaaS.


Источник: [https://www.google.com/search?q=%22%D0%B4%D0%B8%D1%81%D1%82%D1%80%D0%B8%D0%B1%D1%83%D1%82%D0%B8%D0%B2%22+%D0%B3%D0%BE%D1%81%D1%82+%D1%82%D0%B5%D1%80%D0%BC%D0%B8%D0%BD%D1%8B+%D0%B8+%D0%BE%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F&sca_esv=381a7a3a6a330f37&ei=UUgaZ-ywN_DhwPAP_6PSgQ0&start=10&sa=N&sstk=AagrsujBwIndLZyB7vV4p0s10Ott-mi1pg1KsGVeHKiRRBuFRh4a7Beqy9O827_N46DYaGOTxAmaY7T9JN8Hm94Yp9OcmdtVcjnp_A&ved=2ahUKEwisnY_QjKeJAxXwMBAIHf-RNNAQ8tMDegQIBRAE&biw=925&bih=510&dpr=1.47#vhid=zephyr:0&vssid=atritem-https://platform.gov.ru/wp-content/uploads/2022/12/%25D0%259C%25D0%2595%25D0%25A2%25D0%259E%25D0%2594%25D0%2598%25D0%25A7%25D0%2595%25D0%25A1%25D0%259A%25D0%2598%25D0%2595_%25D0%25A0%25D0%2595%25D0%259A%25D0%259E%25D0%259C%25D0%2595%25D0%259D%25D0%2594%25D0%2590%25D0%25A6%25D0%2598%25D0%2598_%25D0%259F%25D0%259E_%25D0%2592%25D0%259A%25D0%259B%25D0%25AE%25D0%25A7%25D0%2595%25D0%259D%25D0%2598%25D0%25AE_%25D0%25A1%25D0%2595%25D0%25A0%25D0%2592%25D0%2598%25D0%25A1%25D0%259E%25D0%2592_%25D0%2592_%25D0%2595%25D0%2594%25D0%2598%25D0%259D%25D0%25A3%25D0%25AE_%25D0%25A6%25D0%2598%25D0%25A4%25D0%25A0%25D0%259E%25D0%2592%25D0%25A3%25D0%25AE-2.pdf Методические рекомендации по включению сервисов в единую цифровую платформу Российской Федерации «ГОСТЕХ»]
Источник: [https://www.google.com/search?q=%22%D0%B4%D0%B8%D1%81%D1%82%D1%80%D0%B8%D0%B1%D1%83%D1%82%D0%B8%D0%B2%22+%D0%B3%D0%BE%D1%81%D1%82+%D1%82%D0%B5%D1%80%D0%BC%D0%B8%D0%BD%D1%8B+%D0%B8+%D0%BE%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F&sca_esv=381a7a3a6a330f37&ei=UUgaZ-ywN_DhwPAP_6PSgQ0&start=10&sa=N&sstk=AagrsujBwIndLZyB7vV4p0s10Ott-mi1pg1KsGVeHKiRRBuFRh4a7Beqy9O827_N46DYaGOTxAmaY7T9JN8Hm94Yp9OcmdtVcjnp_A&ved=2ahUKEwisnY_QjKeJAxXwMBAIHf-RNNAQ8tMDegQIBRAE&biw=925&bih=510&dpr=1.47#vhid=zephyr:0&vssid=atritem-https://platform.gov.ru/wp-content/uploads/2022/12/%25D0%259C%25D0%2595%25D0%25A2%25D0%259E%25D0%2594%25D0%2598%25D0%25A7%25D0%2595%25D0%25A1%25D0%259A%25D0%2598%25D0%2595_%25D0%25A0%25D0%2595%25D0%259A%25D0%259E%25D0%259C%25D0%2595%25D0%259D%25D0%2594%25D0%2590%25D0%25A6%25D0%2598%25D0%2598_%25D0%259F%25D0%259E_%25D0%2592%25D0%259A%25D0%259B%25D0%25AE%25D0%25A7%25D0%2595%25D0%259D%25D0%2598%25D0%25AE_%25D0%25A1%25D0%2595%25D0%25A0%25D0%2592%25D0%2598%25D0%25A1%25D0%259E%25D0%2592_%25D0%2592_%25D0%2595%25D0%2594%25D0%2598%25D0%259D%25D0%25A3%25D0%25AE_%25D0%25A6%25D0%2598%25D0%25A4%25D0%25A0%25D0%259E%25D0%2592%25D0%25A3%25D0%25AE-2.pdf Методические рекомендации по включению сервисов в единую цифровую платформу Российской Федерации «ГОСТЕХ»]
Пример2: "'''Обязательный комплект технической документации'''" '''8.''' Две дистрибутивные копии программного средства или базы данных на дискетах 3,5" или компакт-дисках. Дистрибутивы должны сопровождаться отпечатанным <u>списком файлов, записанных на дискетах и компакт-дисках, в списке должны быть указаны объем файлов, дата и время их создания.</u>
Источник: [https://docs.cntd.ru/document/901821652 Письмо Минздрава РФ от 20 июня 2002 г. N 14-01/3173 "О порядке проведения экспертизы программных средств и баз данных, применяемых в организациях здравоохранения Российской Федерации"]
Пример3:  '''5.5.1''' "'''Угроза внедрения уязвимостей в программу в процессе ее поставки'''" Данная угроза заключается <u>в преднамеренной несанкционированной модификации программы (дистрибутива программы)</u> в ходе осуществления ее передачи пользователю или непреднамеренной поставке пользователю программы (дистрибутива программы), содержащей известные разработчику ПО уязвимости программы.
Источник: [https://meganorm.ru/Data2/1/4293729/4293729971.pdf ГОСТ Р 58412-2019 Защита информации. РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Угрозы безопасности информации при разработке программного обеспечения]
Пример4: '''Т3.10. Подмена дистрибутивов (установочных комплектов)''' программ на носителях информации или общих сетевых ресурсах ''Примечание 6: В том числе может сочетаться с техникой компрометации сертификата, используемого для <u>цифровой подписи образа программного обеспечения</u>''
Источник: ФСТЭК. [https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g Методический документ. Методика оценки угроз безопасности информации]
Пример5: [https://portal.1c.ru/applications/1C-Program-update#conditions Единственный '''официальный источник''' получения дистрибутива программного обеспечения, производства фирмы "1С]", кроме изначально приобретенного комплекта программного обеспечения, который может содержать оптический носитель информации с дистрибутивом.

Текущая версия от 09:16, 6 декабря 2024

Дистрибутив: Форма распространения программного обеспечения, обычно содержащая программу-установщик (для выбора режимов и параметров установки) и набор файлов, содержащих отдельные части программного средства.

Источник: ГОСТ Р 53623-2009 Информационно-вычислительные системы. Характеристики качества. Технические требования

Дистрибутив - форма распространения программного обеспечения. Примечание - Как правило, содержит набор файлов, составляющих программу, инструкции по установке, зависимости от других программ и автоматизированный установщик

Источник: ГОСТ Р 57429-2017 Национальный стандарт Российской Федерации. Судебная компьютерно-техническая экспертиза Термины и определения

__________

см. также Программный комплекс, Программа для ЭВМ, Пакет прикладных программ

__________

Пример1: Требования к дистрибутиву: Дистрибутив должен иметь средства, подтверждающие отсутствие несанкционированных изменений. Подтверждение отсутствия фактов внесения несанкционированных изменений в дистрибутив осуществляется посредством сравнения контрольной суммы (ГОСТ Р 34.11-2012) переданного экземпляра дистрибутива и контрольной суммы ГОСТ Р 34.11-2012 этого дистрибутива, указанной в документации на поставку. Требование не применимо к Сервисам типа: Публикуемые SaaS.

Источник: Методические рекомендации по включению сервисов в единую цифровую платформу Российской Федерации «ГОСТЕХ»

Пример2: "Обязательный комплект технической документации" 8. Две дистрибутивные копии программного средства или базы данных на дискетах 3,5" или компакт-дисках. Дистрибутивы должны сопровождаться отпечатанным списком файлов, записанных на дискетах и компакт-дисках, в списке должны быть указаны объем файлов, дата и время их создания.

Источник: Письмо Минздрава РФ от 20 июня 2002 г. N 14-01/3173 "О порядке проведения экспертизы программных средств и баз данных, применяемых в организациях здравоохранения Российской Федерации"

Пример3: 5.5.1 "Угроза внедрения уязвимостей в программу в процессе ее поставки" Данная угроза заключается в преднамеренной несанкционированной модификации программы (дистрибутива программы) в ходе осуществления ее передачи пользователю или непреднамеренной поставке пользователю программы (дистрибутива программы), содержащей известные разработчику ПО уязвимости программы.

Источник: ГОСТ Р 58412-2019 Защита информации. РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Угрозы безопасности информации при разработке программного обеспечения

Пример4: Т3.10. Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых ресурсах Примечание 6: В том числе может сочетаться с техникой компрометации сертификата, используемого для цифровой подписи образа программного обеспечения

Источник: ФСТЭК. Методический документ. Методика оценки угроз безопасности информации

Пример5: Единственный официальный источник получения дистрибутива программного обеспечения, производства фирмы "1С", кроме изначально приобретенного комплекта программного обеспечения, который может содержать оптический носитель информации с дистрибутивом.