Доступна официальная информация по стоимости лицензий на сертифицированную операционную систему ROSA

Дистрибутив тот же. но поставив его просто так - ты не приобретешь сертификат. Заплатив же бабло - ты его получаешь, кроме того - тех поддержку.

Просто если в будущем в компонентах дистрибутива найдут брешь, из-за которой будет утечка информации - нести ответственность будешь ты. Если же у тебя есть сертификат, что «утечки быть не может», то ответственность перекладывается с тебя на третьих лиц. Так сказать - сертификат - это гарантия, что тебя не посадят, если случиться самое страшное.

Все верно, за исключением одного пропущенного пункта: «дать на лапу». Без этого ничего не выйдет, и та «высокая комиссия» просто не выдаст сертификат на готовое рабочее место.

Кроме того еще сеть... и на весь комплекс рабочих мест (у некоторых несколько человек занимаются обработкой персональных данных)... и везде на лапу...

А что, бумажка с печатью способна как-то защитить от утечки данных?

С помощью бумажки с печатью можно переложить ответственность...

С помощью бумажки с печатью можно переложить ответственность...

Это да, весомый аргумент. Но всё таки с точки зрения информационной безопасности (настоящей, а не «на бумажках») - это профанация.

Сертификаты выдаются на ограниченное время?

Сертификаты выдаются на ограниченное время... потом опять по новой: Бабло на сертификат на ОС, бабло за сертификат на ПО, бабло на сертификат на готовое рабочее место, бабло на сертификат на структуру сети, бабло на совокупность рабочих мест в ЛВС. И все равно когда придут проверять уже сами ФСТЭК, есть вероятность, что какого то сертификата будет не хватать (или компоненты на каком-то рабочем месте будут изменены и не соответствовать сертификату), и все равно порвут мягкое место на британский флаг.

Ведь ни для кого не секрет, что зачастую пользователю (старой бабушке бухгалтеру или кадровичке) абсолютно по барабану на какие то сертификаты, и все они, и ты в том числе как айтишник, все это придумали, что бы осложнить ей работу и жизнь, а ей отчетность сдавать...

У нас теперь все, кроме денег, «просто так». Как в фильме «Брат 2». А этот закон - лишь способ пополнить федеральный бюджет. Кроме того, как грибы выросли фирмы, предлагающие услуги по сертификации в организации, которые тоже кормятся из этой кормушки. Кроме того, опять же дистростроители получили возможность саморазвития за счет этой же кормушки. Опять же - конкуренция между дистростроителями...

А то что это за счет контор, которые эти деньги могли бы инвестировать в собственное развитие... Это мало кого волнует. Крупным фирмам такие суммы - по барабану, на фоне общего дохода - незаметные суммы. А мелкие фирмы удушаться... но это уже мало волнующий фактор для правительства...

С точки зрения логики... У нас в стране половина законов - бред полный!

я тут заметил что несколько раз поднимался вопрос по бэкдорам... но так на него и не ответили... так же не ответили на вопрос по репам и зачем это паделие нужно???

соответствует каким то уровням безопастности...

как я понял, обновится очень большая проблема... так о какой безопастности идёт речь?

Про бэкдоры не знаю. Наверное смотря кто их оставлял, и будут ли они выявлены при сертификации на конечном рабочем месте или при проверке. Если бэкдор оставлен создателем дистрибутива и присутствовал при сертификации ФСТЭК, то безусловно ответственность не ваша.

Обновиться действительно большая проблема, потому что можно обновиться только на то, что так же сертифицировано. Уже видел, кто то поднимал проблему, что пока приедет обновление на «дырку», она будет «открыта»... Да, безусловно - это не делает систему безопасной и демонстрирует (в очередной раз) неэффективность данного ФЗ. Но, с точки зрения закона, вы и ваша ответственность полностью защищены сертификатом, и сертифицированние как раз и должно стимулировать производителя ПО побыстрее закрыть брешь. Ведь пока она идентифицирована и открыта - ответственность несет именно он - производитель ПО.

Лично я противник данного законодательства. Бред это полный, который поднял еще один бюрократический аппарат, а на деле очередная «кормушка» для власти и многих прихлебателей.

IMHO, сертификат должен получать специалист по безопасности, а не непонятный продукт. Аналогично права получает водитель, а не машина, диплом врача человек, а не медицинский инструмент и т.д. Продукт по сути является прокладкой для закона, но не безопасной системой. А статья больше рекламой, а не новостью. А автор - демагогом, который пытается убедить всех в обратном, толсто игнорируя любые неудобные вопросы.

«Незнайка на Луне»? Очень актуально...

Мегабакс на луне!

Настольная операционная система будет стоить 4 тыс. рублей

Хоум премиум дешевле.

К Хоум премиум еще прибавь стоимость офиса. Потом (так как ты будешь устанавливать сторонние компоненты, типа 7zip и др.) сертификацию рабочего места, потом аттестацию... сколько уже выходит? Хотя бы windows+office?

Но я согласен, что лучше отменить 152-ФЗ и послать к чертям таких дистростроителей как Роса Мандрива и других...

Потом (так как ты будешь устанавливать сторонние компоненты, типа 7zip и др.) сертификацию рабочего места, потом аттестацию...

Т.е. если я вдруг захочу в росе поменять архиватор, то мне надо будет проходить эти сертификации и аттестации?

Сертификацию нет - ПО уже сертифицировано, которое входит в состав дистрибутива.

Аттестацию - да, потому как изменились компоненты системы, и она уже не отвечает тому состоянию, на которое была проведена аттестация.

Впрочем, про это и сам автор темы говорил. Это бред Российского законодательства. Или проще говоря, новый способ пополнять федеральный бюджет, который кормит госчиновников.

Только что скачал свежий реестр средств защиты информации с официального сайта ФСТЭК. Предлагаю ознакомиться всем интересующимся. Там есть альтернатива сабжевому дистрибутиву. Там есть даже Суся с сертификатом до 2015 года (№2588) и множество других дистрибутивов.

Создаю конкуренцию САБЖУ. Они не единственные!

вот и выросло поколение...

Ещё раз: нвидия запросила деньги за реальный труд, за создание того чего раньше не было. Драйвер из воздуха должен нарисоваться? А наехали на невидию не за это, а за то что не умеют вести переговоров.

Покажи мне что было сделано для сертификации. Были собраны бумажки которые что-то кому-то доказывают? Так вот чем отечественные дистрибутивостроители занимаются - сбором макулатуры.

Самая главная часть отечественных айти систем это макулатура. Я так понимаю для тебя это нормально. Неважно какое говно и за какие деньги впаривается, главное чтобы надзорный орган за решётку не упрятал.

А для тебя разве не важно, что бы тебя не упрятали за решетку? То есть ты готов рисковать и нести ответственность самолично? Позволь задать вопрос, а «сидеть» ты тоже будешь самолично?

Если «да» - то все нормально. Иди вешай объявления: «Зицпредседатель Фунт ищет работу».

Как уже было сказано - тем кому нужно - госучреждениям с сертификатом того, что о дистр проверен и можно им пользоваться на данном месте - кому не надо - не нужно и добавлять излишнии комменты... ЗЫ. (бывший сторонник Мандривы, ушедший, увы и жаль, на другой продукт, эх мандрива-мандрива...)

Вообще «наша, наш, наши и т.д.» означает «связанный с нами», а не «принадлежащий нам»!;) Последнее значение и прививается детям и не разъясняется потом в более старшем возрасте...

Так вот чем отечественные дистрибутивостроители занимаются - сбором макулатуры.

Там есть даже Суся с сертификатом до 2015 года (№2588) и множество других дистрибутивов.

А не отечественные явно прошли сертификацию без сбора бумажек.

Позволь задать вопрос, а свои личные данные ты доверишь говноадмину, который в случае про%ба данных просто покажет бумажку и останется чист?

С помощью бумажки с печатью можно переложить ответственность...

А что, есть прецеденты, когда ошибка в программе вызывала утечку данных, и за это отвечал дистростроитель или сертификатор?

А что, были прецеденты, когда из за ошибки программы сажали админа?

У нас в стране презумпция невиновности. Если Админ настроил систему не правильно, и этим допустил утечку данных - это его вина, которую можно доказать. Если Админ настроил систему правильно, но ошибка в программе привела к утечке данных - это не вина админа, вина админа не доказана и он остается на свободе.

Если есть бумажка, то по крайней мере хоть что то уже настроено дистростроителем... А теперь представь что такой админ взял систему, которая ему нравиться, просто потому, что она няшка, без всякого соблюдения элементарной информационной безопасности.... Сертификация хотя бы не допустит существования такого рабочего места, и заставит админа немного поучить матчасть и ФЗ для правильной настройки такого рабочего места!

Жаль что там нет Debian...

Ну то есть прецедентов не было.

Если Админ настроил систему не правильно, и этим допустил утечку данных - это его вина, которую можно доказать. Если Админ настроил систему правильно, но ошибка в программе привела к утечке данных - это не вина админа

Спасибо, Капитан.

Ты просто не представляешь всей полноты случившегося...

Допустим была утечка, которая привела к ущербу потерпевшего в денежном эквиваленте, ну пусть к примеру в 100тыр. И, допустим, потерпевшим было доказано в суде, что утечка произошла именно в твоей фирме. При наличии сертификата на рабочие места компании, админ уже не сядет, он все сделал правильно, настроил рабочие места, после этого компания прошла аттестацию, и на все это есть документы надзорных органов. Но материальная ответственность перед потерпевшим остается. Твоей фирме, по решению суда, все равно придется возместить ущерб потерпевшему. Но вот после возмещения, твоя фирма может смело подавать в суд на организацию, которая предоставила тебе сертифицированное ПО. Уж с кого они будут потом требовать возмещения - не проблемы твоей фирмы.

Так что, сертификат - это своего рода Страхование ответственности за утечку персональных данных. В страховании есть даже такое понятие «Суброгация», в Гражданском праве «Регрессный иск». И хотя эти понятия следует отличать, механизм их действия схож.

А для тебя разве не важно, что бы тебя не упрятали за решетку?

не упрятали за решётку в каком случае? tailgunner всё правильно говорит: вот утекут данные и никакие бумажки не помогут. Более того, в этих бумажках будет написано что дистр абсолютно безопасен ибо прошёл проверку.

Ребята, вы все не понимаете: это просто очередная бюрократия. Ну введут техосмотр 6 раз в год вы тоже стадно пойдёте проходить его? Аргументы-то такие же будут: ты же не хочешь сесть в случае аварии? Ты же не хочешь платить штраф если тормознут гаишники?

Безопасность не может строится на бумажках. Покажите мне на деле чем РОСА отличается от убунты. В патчах, в конфигах, в тестах безопасности.

Да ничем РОСА не лучше той же Убунты - это и ежу понятно. Но у Убунты нет сертификата, а закон обязывает его иметь. Не хочешь соблюдать закон - посадят, и конец всем рассуждениям. Хочешь ты или нет - закон приняли и он вступил в силу. Не хочешь - меняй страну или делай революцию.

Ребята, вы все не понимаете: это просто очередная бюрократия.

Я все прекрасно понимаю, но закон уже приняли. Если примут закон, обязывающий владельца авто проходить техосмотр 6 раз в год, то придется проходить, или ходить пешком. Раньше нужно было возмущаться, устраивать митинги и подписывать петиции. Теперь закон уже приняли!

P.S. А теперь даже митинг провести будет нельзя!

Ну вот хотя бы с анонимусами я пришёл к конценсусу :)

Да я с самого начала писал, что этот закон - полный бред, но закон есть закон. И пол года назад я тоже писал... Но чиновникам абсолютно пофиг на мнение рядовых граждан. Для них - это новая кормушка, из которой можно неплохо покормиться. Кроме того - это еще один инструмент, с помощью которого можно прижать неугодных... Сегодня уже любого можно «прижать», благодаря подобным законам.

P.S. Вспоминаются слова Лаврентия Берии: «Был бы человек, а статья найдется».

Да-да, у Суси сертифицирован один экземпляр и, боюсь, он уже ушел. Хорошо бы научиться читать, а не только скачивать.

CentOS?

Очень даже... в ней даже мандатного управления правами из коробки нет. Я уж молчу про то, на сколько пользователей разделены системные службы. В общем, обычный линукс без секьюрных заморочек.

Очень даже... в ней даже мандатного управления правами из коробки нет.

Ты давно её ставил? В 6.2 SElinux точно есть.

Я уж молчу про то, на сколько пользователей разделены системные службы. В общем, обычный линукс без секьюрных заморочек.

Сильно сомневаюсь, что для сертификации на такой же уровень, что у Росы, а тем более винды, потребуется что-то большее.

обработку персональных данных
федеральным законодательством

также ненужно

Ещё раз: нвидия запросила деньги за реальный труд, за создание того чего раньше не было.

Опенсурсные дрова амд? Что, раньше они не работали под arm/sparc?

Самая главная часть отечественных айти систем это макулатура.

admins gonna hate

Опенсурсные дрова амд?

для карточек невидии?

что это и зачем оно нужно?

anonymous (03.07.2012 7:32:13)

Спасибо за подробный и развернутый ответ!

Что касается обновлений, то да - самое свежее ПО не поставишь. только то, что прошло сертификацию и есть в репах.

Правильно ли я понял, что:
1) из репозитория с сертифицированным ПО можно качать и ставить все, что там есть - дополнительно пересертифицировать ничего не придется
2) каждая версия каждого пакета должна быть отдельно сертифицированна, в т.ч. минорные исправления пакетов (исправления глюков, обновления безопасности)?

Кстати, а как в Windows этот вопрос решают?

Вместе с виндой поставляется еще какая-то софтина по проверке версий (sevenprocheck) и обновления ставятся не с update.microsoft а откуда-то из фстэк.

А тот же самый дистрибутив бесплатно поставить можно или в коробке какой-то другой дистрибутив, чем тот что выложен на FTP

Можно поставить туда, где не требуется сертификация

33 серебренника, как обычно. :-)

Предложи другие варианты... для рабочих мест, на которых требуется вести обработку персональных данных в соответствии с федеральным законодательством, в частности с 152-ФЗ!

Другие аппаратно-прогаммные системы/архитектуры (ЦПУ, МП, шины) - иначе «система безопасности» мягко говоря подслеповатая...

Про бэкдоры не знаю. Наверное смотря кто их оставлял

так, ясно, мандривовские не выпилили...
внимательно смотрим поиск и удивляемся очередному МЕГО на*бу...

да и закрыто ли

int netlink_socket = socket(AF_NETLINK, SOCK_DGRAM, NETLINK_KOBJECT_UEVENT);