Назначение

Требования по информационной безопасности

5. 
   
   
   1. 
      Программные и аппаратные компоненты устройства не должны содержать недостатков, использование которых может приводить к нарушению конфиденциальности, целостности, доступности устройства и некорректной работе.
      
   2. 
      Устройство должно поддерживать технологию Secure Boot, включающую в себя следующие этапы загрузки устройства:
      
      1. 
         На первом этапе должна происходить инициализация аппаратных компонент устройства. При этом программный код для инициализации должен храниться в области памяти, недоступной для записи и изменения. Также на данном этапе должна происходить валидация следующего этапа.
         
      2. 
         На втором этапе должна происходить инициализация операционной системы устройства. В случае Linux, на данном этапе должна происходить загрузка ядра ​​и корневой файловой системы. Допускается использование дополнительного загрузчика для поддержки различных параметров или промежуточного программного обеспечения. Также на данном этапе должна происходить валидация следующего этапа.
         
      3. 
         На третьем этом должен происходить запуск приложений, включая подключение к серверам онлайн трансляций. Библиотека Verimatrix, а также запускающие ее исполняемые файлы должны быть зашифрованы.
         
   3. 
      Библиотека Verimatrix и вызывающее ее приложение должны быть зашифрованы с использованием шифра не хуже AES-128. Получение ключа дешифровки должно быть затруднено, изменение ключа дешифровки должно быть невозможно. Это может достигаться расположением ключа в чипе с одноразово программируемой памятью или закрытой ROM/Flash памятью. Дешифрование должно производиться аппаратным AES дешифратором.
      
   4. 
      Во время обновления ПО, образ обновления должен быть записан в память устройства. Перед установкой загруженного обновления должна быть проверена подпись образа данного обновления. Библиотека Verimatrix, включенная в обновление, а также вызывающие ее модули должны быть зашифрованы. Модуль, отвечающий за обновление устройства, должен запускаться загрузчиком второго этапа или быть частью приложения на третьем этапе.
      
   5. 
      Для предотвращение физических атак на получение ключей должен применяться метод скремблирования шины между SOC и компонентами RAM.
      
   6. 
      Диагностические (консольные) порты должны быть удалены, отключены, либо надежно защищены уникальным для каждого устройства паролем.
      
   7. 
      Цифровые выходы должны быть защищены с помощью принятого в индустрии механизма защиты (например, HDCP 1.x или выше, либо DTCP/IP)..
      
   8. 
      Операционная система устройства должна быть защищена с использованием следующих методов:
      
      1. 
         Корневая файловая система и файловая система ядра должны быть доступны только на чтение.
         
      2. 
         Ядро не должно поддерживать опций профилирования и отладки.
         
      3. 
         Ядро должно быть настроено на поддержку только тех функций и компонентов, которые запущены на устройстве.
         
      4. 
         Утилиты разработки не должны быть установлены.
         
      5. 
         Утилиты NFS, SMB и khttpd должны быть выключены (при наличии).
         
      6. 
         Все процессы, предоставляющие удаленный доступ к системе, кроме разрешенных в разделе «Требования к удаленному управлению STB IPTV/OTT», должны быть удалены (такие, как rsh, telnet, rsynch, rlogin, rexec).
         
      7. 
         Неиспользуемые утилиты должны быть удалены.
         
      8. 
         Неиспользуемые аккаунты должны быть удалены.
         
      9. 
         Неиспользуемые серверные протоколы должны быть удалены (TFTP, FTP, NFS).
         
      10. 
          Полномочия доступа к файлам должны быть установлены в минимально необходимые для работы всех компонентов устройства.
          
      11. 
          Протокол Syslog не должен поддерживаться сетевыми компонентами устройства.
          
   9. 
      Устройство должно иметь уникальный идентификатор. Допускается использование MAC адреса и серийного номера в качестве уникального идентификатора.
      

7. Требования по сертификации STB IPTV/OTT и гарантии

5. 
   
   
   1. 
      Все STB IPTV/OTT должны иметь действующий сертификат или декларацию о соответствии в соответствии с действующим законодательством РФ;
      
   2. 
      Документы, относящиеся к STB IPTV/OTT (технический паспорт, сервисная книжка, инструкция по эксплуатации, условия использования программного обеспечения (лицензионные условия) и т.п.), а также упаковка STB IPTV/OTT должны содержать информацию, необходимую для потребителя в соответствии с требованиями законодательства Российской Федерации и законодательства Таможенного союза;
      
   3. 
      Гарантийный период на поставляемые STB IPTV/OTT должен составлять не менее 24 месяцев с даты приемки-передачи STB IPTV/OTT в соответствии с условиями соответствующего Договора;
      
   4. 
      Поставщик обязуется за свой счет сформировать подменный фонд STB IPTV/OTT, не менее 3 (трех) % от величины Заказа. Поставщик обязуется предоставлять Заказчику STB IPTV/OTT из своего подменного фонда на период ремонта (замены) соответствующего оборудования. STB IPTV/OTT из подменного фонда должно предоставляться Заказчику по соответствующему Адресу доставки в срок не более 21 (двадцати одного) календарного дня с даты получения Поставщиком уведомления Заказчику. Срок предоставления STB IPTV/OTT продолжается до момента получения Заказчиком заменённого (отремонтированного) STB IPTV/OTT. Заказчик не обязан дополнительно оплачивать предоставление STB IPTV/OTT из подменного фонда. В целях подтверждения предоставления/возврата STB IPTV/OTT из подменного фонда Стороны составляют соответствующие письменные акты;
      
   5. 
      Поставщик должен обеспечивать возможность загрузки в STB IPTV/OTT переданной Заказчиком Прошивки на заводе по своим требованиям;
      
   6. 
      Поставщик должен оказывать техническую поддержку, включая расширение функционала ПО в течение 5 лет с момента поставки STB IPTV/OTT;
      
   7. 
      Поставщик обязуется оказывать расширенную техническую поддержку STB IPTV/OTT в объеме не менее 400 часов на каждую свою отдельную модель STB IPTV/OTT. Данная расширенная техническая поддержка включает в себя:
      

• 
  доработки предоставляемого ПО;
  
• 
  консультации сотрудников Заказчика инженерами Поставщика, в том числе на территории Заказчика;
  
• 
  решение интеграционных задач клиента DRM/CAS.