LINUX.ORG.RU
ФорумAdmin

Трактовка законокрючкотворства

 , ,


0

1

Доброго всем времени суток.

Вопрос мой адресован всем специалистам ИТ, работающим в государственных структурах.

Прошу помощи в разъяснении нашего Российского законокрючкотворства в плане ПО, а именно:

Не так давно вышел ряд постановлений правительства РФ, приказов минкомсвязи, приказов министерств соответствующих структур о замещении ПО иностранного производства.

Речь идет не о запрете закупок ПО иностранного производства, а именно о замещении уже эксплуатируемого ПО иностранного производства - офисного ПО, ОС и т.д.

Собственно вопрос в том, можно ли использовать СПО в качестве ОС, или надо обязательно покупать сертифицированную ФСТЭК ОС?

В текущей редакции 152-ФЗ ФСТЭК речь идет только о средствах криптографии. Есть мнение, что с законодательной точки зрения, использование сертифицированного ФСТЭК дистрибутива в составе которого имеется средства криптографии равнозначно использованию ОС СПО и сертифицированного ФСТЭК средства криптографии (с формуляром, дистрибутивом средства криптографии и т.д.).

То есть, если руководствоваться этой точкой зрения, то достаточно поставить любой дистрибутив GNU/Linux (Ubuntu, Debian, CentOS) и тот же самый КриптоПро (КриптоПро сертифицирован ФСТЭК, имеет формуляр, дистрибутив и пр.).

Но коллега наткнулся на очень интересный документ: «Постановление Правительства РФ от 01.11.2012 N 1119 „Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных“», где в п.6 абзац 4 сказано:

«Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе».

Вот тут и возникает вопрос корректной трактовки. Потому что, если руководствоваться данным документом, то возникает необходимость и в сертификации просмоторщика PDF, браузера, оффисного пакета и др. ПО.

Так вот:

  • Подскажите пжл, нужно ли в обязательном порядке использовать сертифицированную ФСТЭК ОС? Или все же возможно использовать СПО+КриптоПро?
  • Как Вы в своих организациях решили/решаете этот вопрос?

Заранее спасибо за ответ.

★★★★

P.S. Нат тут в министерстве в качествет примера приводили Ульяновскую область, где якобы все госструктуры уже давно перешли на Линукс и пр. СПО.

Есть здесь кто с Ульяновской области кто сможет рассказать, как в Ульяновской области решили вопрос об импортозамещении ПО.

ivanlex ★★★★ ()

замещении ПО иностранного производства

1. Формально, большая часть СПО тоже иностранного производства. 2. Такие формулировки принимаются, в основном, для обеспечения монополии приближённых структур, т.ч. не умничай, покупай местное.

DonkeyHot ★★★★★ ()
Ответ на: комментарий от ivanlex

Тупое манипулирование, рассчитано на то что Вы предположительно ничего не делаете, а типа ща быстро начнёте делать и всё будет чики-пуки.

У нас такая тема с ГИС ЖКХ была года два назад, нам тип из Ланита рассказывал как всё уже внедрили в каком-то заднепедрищевске за Уралом, а мол мы Москвичи тупые и ленивые. Так вот до сих пор нихера не работает, а басни старые.

AntonyRF ★★★ ()
Ответ на: комментарий от DonkeyHot

СПО конечно может быть иностранного производства. Но СПО с открытыми исходниками. И проверяющие органы знают об СПО и вопросов к ним не возникало (пока по крайней мере).

ivanlex ★★★★ ()
Ответ на: комментарий от DonkeyHot

не умничай, покупай местное.

Ну так не хотелось бы тратить деньги на то, что и так свободное. А то «местное», это тоже самое, что свободное, только с протухшим лет на 10 софтом. Глюки те же, только за деньги.

Что делать с принтерами - вообще беда. По гос программе модернизации понасылали таких говнопринтеров, которые и на винде то дерьмого работают, а про Линь эти производители вообще не слышали...

ivanlex ★★★★ ()
Ответ на: комментарий от ivanlex

«местное», это тоже самое, что свободное

Ты же пропустил главное: +100500 денёг для нужных структур.

Что делать с принтерами

Беречь лес. У вас же есть интернеты и цифропечати.

DonkeyHot ★★★★★ ()

В твоем ведомстве однозначно вся сетка называется информационной системой в защищенном исполнени. Если этого еще не сделано, то это недоработка на местах. Вам надо пройти аттестацию ~3 млн. руб., и вам присвоят класс защищенности, наверно самый низкий. Заниматься этим должен будет отдельный специалист по бумажной информационной безопасности, там бумажек, журналов, приказов, положений, требований и прочего около 50 штук. Половину напишет подрядчик, кто вас будет аттесттвывать, если он не «свой» (а если свой то он вообще ничего делать не будет, просто деньги возьмет и печати поставит, а всю документацию делать будет заказчик работ).

В соответствии с присвоенным классом информационной системы будут и требования к ПО.

Xintrea ★★★★★ ()
Ответ на: комментарий от zendrz

Из историй Курчатника.
1. Молоко выдавали
2. С пивом в определенный момент получилось веселее. В столовке стали продавать пиво. Так народ спиртяги напьется и потом перед выходом лакернет пивком что бы выхлоп пивной был. И вот на проходной «нетвердой походкой» на вопрос «что пил?» Как что? в столовке пиво :)

anc ★★★★★ ()
Ответ на: комментарий от anc

это вообще отдельно забавно, я когда работал на заводах, но не числился там (приходил, налаживал), видел что там в столовках пиво продают! Мужики там реально все в обед вместо компота…

zendrz ()
Ответ на: комментарий от ivanlex

ФСБ к нам периодически заходят. Не хотелось бы после их встречи перейти на диету сухарями.

Аву им свою только не показывай. Лизке восемь лет.

А по поводу остального, ты не понял для чего нужны сертификаты на твоей должности? А нужны они для того, чтобы сказать в какой-то момент «я невиноват, вот, у меня и бумажки есть», а потом тебя «уволят», может с повышением. Однако, если бумажек не будет, тебя уволят и посодют! Что для тебя лучше думай сам.

anonymous ()
Ответ на: комментарий от ivanlex

Что делать с принтерами - вообще беда. По гос программе модернизации понасылали таких говнопринтеров, которые и на винде то дерьмого работают, а про Линь эти производители вообще не слышали…

Лол, да ты походу к нынешней системе проф. непрегоден. Как вообще могла возникнуть такая проблема?

Вот тебе анекдот с тобой в главной роли.

Составляешь кляузу почему тебе надо именно Brother, отправляешь кляузу человеку над собой. Если даёт добро, то звоните вместе в Brother, договариваешься о покупке и обслуживании оборудования, а также составления правильного аукциона и, если нужно, письма наверх. Делаете всё это. И расходитесь. А смеяться здесь надо с того момента, как узнаёшь, что челик над тобой получает деньги за Brother и больше, а покупает по факту что-то другое. То есть смеяться после слова «лопата» ,если ты понимаешь о чём я.

Brother, к слову, это лучшее что последнее было на моей памяти, на работах.

anonymous ()
Ответ на: комментарий от crisis80

Денежку, конечно, пришлось заплатить немаленькую,

Nick: crisis80

Дата регистрации: 10.02.20 14:06:15

Последнее посещение: 11.02.20 16:31:24

Маркетош… с низкой социально ответственностью анонимно сумму указать не может и от чего она зависит, ну абалдеть.

anonymous ()