Прикольно. У нас в проекте был случай. нужен был МЭ с DPI. 5 вендоров сказали могу. На практике смог только один и то с трудом. Основой стала хорошая ПМИ и стендовые, а потом полигонные испытания функций СЗИ и испытания на совместимость, которые выявили проблемы в реализации протокола МЭК 104. Поэтому странно аргументировать к ТЗ и тем более к маркетинговым заявлениям...

Незнание методических документов ФСТЭК )

Ну Сергей, это несерьёзно :) обязанности следовать требованиям к МЭ нет. Остальное все страхи и особенности национальной ИБ

Можно узнать вендоров?

Мы обещали не рассказывать :). 2 русских остальные не наши...

Ничего не понял. Было ТЗ, было хорошее ПиМИ, не все справились. Странно аргументировать к ТЗ?

Так, испытания и приемка...
Интересный вопрос, завтра напишу :)

Если коротко, методические документы ФСТЭК - это внутренние документы системы сертификации. Если я не собираюсь сертифицировпться, нет никаких правовых оснований требовать от меня исполнения этих документов.

Вендор вынужден их исполнять только потому, что без этого не получит сертификпт

Антон, а что не понятного? Я написал, что требования ТЗ и маркетинговые заявления не гарантируют наличие функционала, уверенности в этом функционале и то, как этот девайс или софт поведет себя в конкретной среде. Ответ могут дать испытания: стендовые, лабораторные, полигонные. Основой которых является качественная ПМИ, в которой прописаны требования не только по функциональным испытаниям, но и испытаниям на совместимость, а еще лучше робастность..

Да, требования ТЗ не гарантируют наличие функциональности, они требуют наличие функциональности. Ваш кэп. Их пишет, или признает своими заказчик.

методический документ по поиску узвимостей тоже к таким документам относится?

И что? Ты по существу то не ответил...

И как заказчик убедится в том, что его требования выполнены?

В целом я не согласен ) Документы есть, они должны использоваться, т.к. других нет.

Ты поставил в один ряд спрос и предложение. Поэтому я запутался

Основание почему должны? :)

У тебя третий ответ, что ты не понимаешь... хм? Вопрос простой. Как заказчик убедится, что его требования выполнены с одной стороны? С другой стороны, что он чист перед законом?

Повторю свой вопрос .. ты начал писать ПМИ, для ПМИ надо выбрать требования .. ты начал их выбирать. Почему при выборе требований ты проигнорировал профиля МЭ?

"Других нет" - это не правовое основание. Или есть нормативный акт, который опирается на ФЗ и прямо обязывает исполнять эти документы вот в таких случаях, или нет правовых основпний

Потому что не захотел. Имею право, пока нормативным актом меня прямо не обязали выполнять требования профиля.