Собственно вот замечания
You must be registered for see links
You must be registered for see links
Не вижу среди них ни одного замечания к качеству кода или безопасности.
Вот комментарии разработчика по каждому замечанию
коментарі ТОВ «Міранда» на зауваження, які містить проект Протоколу № 1\2016:
Пункт 1 проекту Протоколу: один з описаних у технічному проекті, та реалізований у Системі засіб авторизації, а саме — BankID, на сьогодні не має підтвердження відповідності вимогам ідентифікації та автентифікації в сфері ТЗI. Також представниками ТОВ «Міранда» не надано підтверджуючих документів щодо впровадження відповідної системи НБУ. Крім того невиконано відповідний опис системи у технічному проекті на КСЗI, що не дає можливість провести відповідну перевірку під час проведення експертизи.
Коментар ТОВ «Міранда»:
ТОВ «Міранда» нагадує, що спосіб авторизації BankID був прописаний в Технічному завданні на КСЗІ ІТС «Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави і місцевого самоврядування», яке було погоджене ДССЗЗІ ще 03.08.2016.
Внесення змін у Технічне завдання, затверджене Національним агентством з запобігання корупції та погоджене ДССЗЗІ, має бути ініційоване власником системи — Національним агентством з запобігання корупції, оскільки авторизацію через BankID було затверджено Порядком формування, ведення та оприлюднення (надання) інформації Єдиного державного реєстру декларацій осіб, уповноважених на виконання функцій держави або місцевого самоврядування, який був затверджений Рішенням Національного агентства з питань запобігання корупції від 10.06.2016 № 3, і зареєстрований в Міністерстві юстиції України від 15 липня 2016 р. за № 959/29089.
Пункт 2 проекту Протоколу: не підтверджено майнові права на всі компоненти системи, де обробляються персональні дані, власником або розпорядником системи, який подавав заяву на проведення експертизи КСЗI, що унеможливлює підтвердження конфіденційності інформації та послуги доступності.
Коментар ТОВ «Міранда»:
Питання майнових прав на матеріально-технічне забезпечення системи виходить за межі повноважень ТОВ «Міранда», яка є розробником виключно програмного забезпечення системи.
Згідно з трьохстороннім Актом приймання-передачі № 1 від 27.07.2016 власником програмного забезпечення, розробником якого є ТОВ «Міранда», є Національне агентство з запобігання корупції.
Пункт 3 проекту Протоколу: технічний проект на КСЗI містить недоліки, а саме:
3.1 відсутнє визначення об’єктів, що містять конфіденційну інформацію, та суб’єктів захисту, що отримують до неї доступ. Відповідно, невизначено механізми доступу суб’єктів до об’єктів захисту.
Коментар ТОВ «Міранда»:
Визначення об’єктів, що містять конфіденційну інформацію, приведено у п.2.3 пояснювальної записки до технічного проекту (стор.26-28)
Визначення суб’єктів захисту, що отримують до конфіденційної інформації наведено у п.2.4 пояснювальної записки до технічного проекту (стор.33-37)
3.2 не визначено порядок ідентифікації «незареєстрованого користувача» комплексом захисту інформації;
Коментар ТОВ «Міранда»:
Оскільки «незареєстрований користувач» має чітко обмежений доступ тільки до публічної частини веб-порталу ІТС ЄДРДО на етапі технічного проекту будо прийнято рішення про відсутність потреби в ідентифікації «незареєстрованих користувачів»
3.3. не визначена схема та механізм ідентифікації користувачів;
Коментар ТОВ «Міранда»:
Визначено у п.3.1.1 пояснювальної записки (стор.15-16).
3.4. у документації має бути визначений склад КЗЗ та відповідність цієї інформації технічному завданню;
Коментар ТОВ «Міранда»:
Це технічна описка: у пунктах 2.2.1 та 2.2.2 замість слів «Склад компонентів КСЗІ ІТС ЄДРДО» слід читати «Склад КЗЗ ІТС ЄДРДО».
3.5. для кожної з функціональних послуг безпеки, яка описана
в технічному проекті не визначено суб’єкти, що реалізують цю послугу
та об’єкти захисту;
Коментар ТОВ «Міранда»:
Суб’єкти, які реалізують функціональні послуги безпеки, та об’єкти захисту визначені для всіх функціональних послуг у розділі 3.5 (стор.55-66)
3.6. технічний проект не містить опису механізмів (компонентів програмно-апаратних засобів), що забезпечують реалізацію функціональних послуг безпеки;
Коментар ТОВ «Міранда»:
Опис механізмів, які забезпечують реалізацію функціональних послуг безпеки, визначено у додатку № 1 до пояснювальної записки «Налаштування компонентів ІТС» (стор.71-576).
3.7. тільки 4 з 26 програмних засобів, які реалізують функції безпеки, мають відповідні експертні висновки;
Коментар ТОВ «Міранда»:
Згідно п.21 Постанови КМУ № 373 від 29.03.2006 (зі змінами): «У разі використання засобів захисту інформації, які не мають підтвердження відповідності на момент проектування системи захисту, відповідне оцінювання проводиться під час державної експертизи системи захисту». Отже, експертне оцінювання зазначених програмних засобів, знаходиться у компетенції ДССЗЗІ.
3.8 програмний продукт не містить засобів інтеграції з зовнішніми IТС, у той час як цей функціонал заявлений у технічному завданні.
Коментар ТОВ «Міранда»:
Після затвердження Технічного завдання на побудову КСЗІ Національне агентство з запобігання корупції не забезпечило організацію інформаційної взаємодії з жодним з зовнішніх IТС, що унеможливлює включення засобів інтеграції до складу КСЗІ.
Зважаючи на вищевикладені коментарі, ТОВ «Міранда» звертає увагу на відсутність зауважень до програмного забезпечення та інформаційно-телекомунікаційної системи Єдиного державного реєстру декларацій в цілому.
1. Из этих комментариев я вижу что тех задание менялось 3 августа! АКУЕТЬ!
2. Из этих комментариев я вижу что держспецсвязи требует от разработчика идентифицировать каждого человека который зайдет на портал посмотреть на декларации. АКУЕТЬ!! Нафига??? Доступ публичный!
3. С разработчиком заключен договор на разработку ПО, а дерспецсвязи требует предъявить имущественный комплекс с серверами! АКУЕТЬ! С какого хрена??
