И чтобы это значило ??? Дали ASPшники дядюшки чиновнику 100 целковых он им дал бумажку (туалетную?) и расписался на ней....

А чем, собственно, тебе ненравится дистрибутив ASPLinux???

Сейчас времена такие, что если нужно сделать что-то серьезное, то заказчики в первую очередь требуют документы на соответствие решаемым задачам. У ASP логичный этап развития. Замечания по поводу качества бумаги - от кухарского уровня (не обижайся, человек, поторопился ты с комментарием).

Приятная новость - видно, что народ вкладывается.

Да ладно ASP классный дистрибутив. Только мне чертовски интересно, что это за не "незначительные изменения" которые пришлось внести для соответствия всем требованиям ? Уж не закладку для компитентных органов ли ?

> Уж не закладку для компитентных органов ли ? Если у вас нет паранои то это не значит, что за вами не следят (С) не помню чей...

У меня вопрос, имеет ли Windows этот сертификат, и если имеет то по какому классу?

>У меня вопрос, имеет ли Windows этот сертификат, и если имеет то по
>какому классу?

Риторический вопрос. Естественно, не имеет.

И скока можна его сертифицировать? Почти каждый месяц подобные
анонсы. Даже виндень еще не сертифицирована, а линуксы
регулярно раз в месяц ;)

Вопрос.

Народ - вы мне не объясните что означает "партия из 100 экземляров"
номера такие то... это ГТК проверял 100 экземпляров или сертификат
имеют только эти 100 экземпляров ? ;)

Интересно мне знать, как они просертифицировали дважды дырявый
openssh proftpd c рут-эксплойтом ;)) Хотелось бы увидеть
сертификат и предъявить хакерам, которые сломают тачку с
ASPLinux'ом ;)

Ребята из ASPLinux молодцы!

Кто-то тут (нибудим говорить кто), ругал, что АСП не умеет работать с государством и не умеет себя рекламировать. В общем теперь все ясно. Сертификация дело очень хорошее и даже нужно для продвижения Линукс, да и вообще приятно. Но может кто нить мне, простому админу, объяснит, что это значит "РФ по 5 классу защищенности для СВТ и по 4 уровню контроля для НДВ". Как проходит тестирование на соответствие? И я так и не нашел какие требования предъявляются.

ms windows nt 4.0, server 4.0 и ms sql 6.5 были сертифицированны еще в 1999 году. сейчас сертификацию проходят ms windows xp и ms windows 2003 server. исходные тексты получены по программе ms goverment security programm (gsp).

А что там разве был когда-то proftpd????

Всем привет!

Новость замечательная!

А сейчас по-поводу лохов.
Декабре 2002 вышло постановление правительства о лицензировании отдельных видов деятельности. Точное название, номер и дату искать лень, но если кому надо - подниму. В общих чертах смысл такой: для проведения работ по защите конфиденциальной информации ( в частности VPN, системы шифрования) необходимо иметь:
1. соответствующюю лицензию
2. держать в штате сертиф.специалистов в области безопасности ИТ
3. система должна строится на СЕРТИФИЦИРОВАННЫХ ГТК программных средствах (ОС подразумевается)
4. Софт должен быть ЛИЦЕНЗИОННЫЙ.

Понятно, что можно всех послать и работать без лицензии на левом софте. Но как правильно сказал злобный анонимус(2003-09-25 19:25:13.373235) серьезный контракт хрен получишь.

Сертификат имеет NT4 SP3. И какая-то версия NetWare.

>Сертификат имеет NT4 SP3.
>ms windows nt 4.0, server 4.0 и ms sql 6.5 были сертифицированны еще в 1999 году.

Эти сертификаты просрочены. Их УЖЕ нет.

>сейчас сертификацию проходят ms windows xp и ms windows 2003 server.
Этих сертификатов ЕЩЕ нет.

Итого:

Сертификатов у мс нет.
А вот АСП и АЛЬТ имеют сертифицированные продукты.

В догонку.

Я так думаю, что большинство здесь присутсвующих при выборе из ASP и NT4 выберут все-таки первое. Это тем более важно, что во многих конторах требуется сертифицированный софт. Насколько я знаю ядерные конторы сидят на NT 4 SP3
Проблема состоит в том (если не прав - поправьте), что сертифицуруется конкретные версии софта ( наример, ядро x.y.zz, файлсистема XFS x.y, ftp сервер xxx и т.д.)

В просторечье эти сертификаты ничего не значат, увы...

4 уровень НДВ (не документированных возможностей):

Цитатата 1: Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего

Цитата 2: Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации

Что уровень четыре дает? Спецификация, описание софта, описание применения, исходники (для "сертификаторов"). Подтверждение, что в исходниках и в бинарниках не было "лишних" файлов, взявшихся "из ниоткуда". Что для каждого файла в сырцах и бинарях известно его назначение - примерно так.

Пятый уровень НСД: явное задание кто куда чего может, с возможностью пресечения наследования, строгая аутентификация, очистка памяти, TFM, средства проверки целостности (где ты, Windows???), наличие конструкторской и проектной документации по ГОСТ'у оформленной (не у юзера, но у сертификаторов), протоколирование доступа к любому защищаемому объекту (в Unix'ах это файлы и процессы)

В общем, ничего особого - нормально заточенная система. С другой стороны, я надеюсь, что это только начало со стороны ASPLinux, и если это так - это приличная продвижка на рынок госструктур.

Да, действительно срок сертификатов МС истек.

Интересно, АЛЬТлинуховский "Утес-К", имеющий сертификаты по тому же классу, стоит 22000 руб. А сертифицированный АСП - 150 баксов :) По поводу руководящих документов - все они есть на www.infotecs.ru, смотрите язк не сломайте, читая их. Ужасно написаны :)

А как вся эта сертификация видится в свете угрозы лицензирования Линукса (ну там эти чмыри из SCO, голосование за софтверные патенты в европе). Т.е. типа мы сертифицируем то, что пока хрен знает легально или нет, типа мы сами себе злобные буратины.

Евгений

А как вся эта сертификация видится в свете угрозы лицензирования Линукса (ну там эти чмыри из SCO, голосование за софтверные патенты в европе). Т.е. типа мы сертифицируем то, что пока хрен знает легально или нет, типа мы сами себе злобные буратины. Евгений

А как вся эта сертификация видится в свете угрозы лицензирования Линукса (ну там эти чмыри из SCO, голосование за софтверные патенты в европе). Т.е. типа мы сертифицируем то, что пока хрен знает легально или нет, типа мы сами себе злобные буратины.

Евгений

Алле, модератор, че тебе надо?

А мы что в европе живем ?
Ну и нехай в европе сертифицируют, хотят сертифицировать в россии пусть сначала поживут тут (если выживут) ...

>> Интересно, АЛЬТлинуховский "Утес-К", имеющий сертификаты по тому же классу, стоит 22000 руб. А сертифицированный АСП - 150 баксов :)

Конкуренция.

Linux на XFS - да вот это точно ужас. XFS реализация в Linux на сегодня оставляет желать лучшего. Для неверующих добавлю из моего личного опыта - сам наблюдал как умирали около десятка серваков на этой хваленной журналируемой фс, тогда как точно такие же на reiserfs работают по сей день!

А я видел, как безвозвратно терялись партиции с reiserfs ;)

Может я не совсем вкупаю - но, как будет происходить процедура патчей для конкретной версии, они тоже по идее должны пропускаться через ГТК? Иначе грош-цена такой сертификации, когда через 20-30 отдельных патчиков система уже кое чем начинает отличаться. Вообщем мне вообще не ясен абсурд сертификации OpenSource который похож на денежный обмен label`s.

а я, а я!

Мне вообще интересно, будет ли линейка 7.3 еще жива даже не до 2006, а хотя бы до конца 2004...

хуйня! хуйня все это. Скажите нахрен мне ставить АСП если он тотже КраснаяШапка только причем поруски. Хрен его знает... Народ скажи сколько у вас АСП на серваках стоит? Или не стоит. Скажите нахрен нужен 7.3 если скоро будетЬ 10.Х? И ненадо мне базарить по поводу охуенности сертификации - ХУЙНЯ!!! Если кто-то собирается сменить дистриб или поставить новый, то скорее всего это будет последний припоследний дистриб из БОЛЬШИХ ДЯДЕЙ ИЗ ЗАРУБЕЖЬЯ. Так что бы всё посвежее!!!!

не пиздеть!

Ну не надо, стоит почти на всех, причем ASP 7.3... На других RH 6.2 стоит...

Так что сам решай про 10x

Не смешите мои тапки! Чего, дяди из гостехкомиссии перерыли всё ядро в поисках багов и троянов?

Цитата 2: Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации

А информация в банках не работающих с Гос Тайной таковой и является ...
Т.е. то что надо


В общем, ничего особого - нормально заточенная система. С другой стороны, я надеюсь, что это только начало со стороны ASPLinux, и если это так - это приличная продвижка на рынок госструктур.

причем здесь госструктуры?

К вопросу о патчах и апдейтах - думаю, шерстить все сорсы (все пакеты) на поиски НДВ они не стали, проверив самое нужное, и составив "руководство пользователя по установке и настройке", где описали что "вот это и это ставь (мы проверили), а вот за это мы не отвечаем", и в конце указав что система удовлетворяет требованиям ГТК только при заданной конфигурации.

хуйня все это! ну и что там серификат купили, это просто грубое нарушение вашего любимого GPL. системы уже продаются за сумашедшиее бабло, это просто наглое обдирательство, вот ваше любимое Linux соовщество, на вас бабки делают что SuSE, что RedHat, Alt, теперь еще альт. Все это называется "Сосите, сосите причмокивая и не отвлекайтесь..."

2anonymous (*) (2003-09-26 11:43:05.366782) почитай GPL: www.gnu.ru

Интересно, а готов ли ASP страховать свои серт. сервера

на предмет "взлома", то есть отвечать деньгами ?

Никто деньгами не отвечает.

Хочешь сказать, что МС отвечала деньгами за взлом своих сертифицированых серваков?

>Хочешь сказать, что МС отвечала деньгами за взлом своих сертифицированых серваков?

На западе страхуют веб-сервера, в том числе и под IIS.

Повторюсь: хуйня! хуйня все это. Скажите нахрен мне ставить АСП если он тотже КраснаяШапка только причем поруски. Хрен его знает... Народ скажи сколько у вас АСП на серваках стоит? Или не стоит. Скажите нахрен нужен 7.3 если скоро будетЬ 10.Х? И ненадо мне базарить по поводу охуенности сертификации - ХУЙНЯ!!! Если кто-то собирается сменить дистриб или поставить новый, то скорее всего это будет последний припоследний дистриб из БОЛЬШИХ ДЯДЕЙ ИЗ ЗАРУБЕЖЬЯ. Так что бы всё посвежее!!!! ПиздоболЬ.

Я тебе матершиннику незарегистрированому ответил...

Теперь нужно подключить воображение и смекалку и самому понять все про 10.x (и что такое этот x?)

Защищённая ... секьюрити ... мдя ... Знаем мы , как ГТК сертифицирует ... видели ... и сертификат с дырявыми openssh и proftpd - это ещё ничего .. дали сертификат с дырявым ядром 2.4.19 ...

Знаете как бывает приходишь ко всяким уродам на работу устраиваться, они диплом просят. Нет диплома зарплата в 2 раза меньше. Я так думаю это сертификат в первую очередь для таких уродов и таких контор.

Ясно, что нет ничего безопасного! Сегодня сертификат, завтра 3 дыры в каких-нибудь пакетах...

>>На западе страхуют веб-сервера, в том числе и под IIS.

В случае страховки на деньги поподает страховщик, но никак не производитель ПО.

2anonymous (*) (2003-09-26 11:43:05.366782): Какое положение GPL при этом нарушается?

Ну дык он захочет вернуть эти деньги.

Придут к АСП и скажут "как же так дорогая редакция, такой крутой

сертификат ?"

Обычно в лицензии на ПО пишут:" Наша контора никогда, ни прикаких условиях, ни за что ответственности не несет"

В чем тогда смысл платить $1k за серт. дистр?