Автор Тема: По поводу Минкомсвязи приняло заявки на господдержку разработчиков отечественного ПО (Прочитано 23801 раз)

neobht · « **Ответ #120 :** 13.06.2015 09:26:11 »

Посмотрите вот это: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00

Плюс в совокупности с другими средствами для винды достигается защищенность гораздо выше, чем 4 СВТ и 3НДВ.

ruslandh · « **Ответ #121 :** 13.06.2015 09:53:34 »

Это я видел - вы сам сертификат покажите

ruslandh · « **Ответ #122 :** 13.06.2015 09:57:12 »

Цитировать

Встроенные средства защиты ОС MS Windows NT 4.0 Server (English) с пакетом обновления Service Pack 5 (English) – СЗИ НСД по III классу для СУиК

Где вы такое железо сейчас найдёте, что-бы это работало.
А где-же Russian :)
При чем тут импортозамещение.

ruslandh · « **Ответ #123 :** 13.06.2015 09:57:50 »

Цитата: ruslandh от 13.06.2015 09:57:12

для СУиК

А это что за оговорка?

neobht · « **Ответ #124 :** 13.06.2015 09:58:08 »

Цитата: ruslandh от 13.06.2015 09:53:34

Это я видел - вы сам сертификат покажите

это не ко мне.
я даже искать не буду.

neobht · « **Ответ #125 :** 13.06.2015 10:01:06 »

Для большего понимания я аргументирую не с точки зрения ярого приверженца Windows, а просто в качестве противоположной точки зрения.

Сам же я - приверженец Linux и работаю каждый день в направлении, чтобы он был еще лучше. Занимаюсь этим не только в качестве хобби, но и по профессии :)

ruslandh · « **Ответ #126 :** 13.06.2015 10:04:38 »

http://www.linter.ru/ru/press-center/detail/27/1585/

Цитировать

Согласно информации, опубликованной на официальном сайте ФСТЭК России, всего 4 СУБД в мире (Oracle версий 7 и 8i, Microsoft SQL Server версии 6.5, СУБД «Альтернатива» версии 1.5 и СУБД «ЛИНТЕР БАСТИОН» версии 6.0) имеют действующие сертификаты на серийное производство. Важно и то, что все эти СУБД, за исключением, пожалуй, «ЛИНТЕР БАСТИОН» 6.0, сертифицированы либо под конкретную область применения, например системы управлении и контроля (СУиК), информационные системы персональных данных (ИСПДн), либо под конкретное решение – автоматизированные системы учета и контроля ядерных материалов.

Цитировать

Что касается сертификации в МО РФ, то подобного реестра в открытом доступе нет, поэтому информацию о наличии сертификатов можно получить только на сайтах разработчиков систем. Среди СУБД, сертифицированных МО РФ и ориентированных на государственный сегмент рынка ИБ, можно выделить вышеупомянутую «ЛИНТЕР БАСТИОН» и PostgreSQL, имеющую множество клонов, в том числе специализированную СУБД «Линтер-ВС».

Антон Мидюков · « **Ответ #127 :** 13.06.2015 10:15:48 »

Цитата: neobht от 13.06.2015 09:26:11

Посмотрите вот это: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/591-gosudarstvennyj-reestr-sertifitsirovannykh-sredstv-zashchity-informatsii-n-ross-ru-0001-01bi00

Спасибо, посмотрел. Сами решения Микрософта имеют ОУД1 усиленный (не требуется проверка исходного кода) -- низший уровень доверия! Также имеют класс защищённости 5. Опять-таки низший уровень, где исходники не проверяют.

Цитата: neobht от 13.06.2015 09:26:11

Плюс в совокупности с другими средствами для винды достигается защищенность гораздо выше, чем 4 СВТ и 3НДВ.

С чего вы взяли, что достигается? Если программный продукт имеет более высокий класс защищённости под Винду, то класс защищённости их совместного использования не будет никогда равен классу защищённости решения под Винду. Так как недекларированные возможности Винды спокойно могут обойти все ограничения этого решения. Можно построить крепость без фундамента, но она падёт при первом же штурме, или весной при таянии снега

Лучше найдите сертификат от ФСБ. ФСТЭК в глаза никогда исходников Винды не видела, а ФСБ видело.

Upd: Кстати 5 класс защищенности упразднили, так что Сертификаты Винды недействительны: http://www.garant.ru/products/ipo/prime/doc/70491518/

YYY · « **Ответ #128 :** 13.06.2015 10:27:38 »

Цитата: Антон Мидюков от 13.06.2015 10:15:48

Если программный продукт имеет более высокий класс защищённости под Винду, то класс защищённости их совместного использования не будет никогда равен классу защищённости решения под Винду.

Правильно. Класс будет равен классу самого слабого компонента.

neobht · « **Ответ #129 :** 13.06.2015 10:29:09 »

Цитата: Антон Мидюков от 13.06.2015 10:15:48

Спасибо, посмотрел. Сами решения Микрософта имеют ОУД1 усиленный (не требуется проверка исходного кода) -- низший уровень доверия! Также имеют класс защищённости 5. Опять-таки низший уровень, где исходники не проверяют.

Я вскольз посмотрел про Linux в этом списке и что-то даже не увидел ни у одного другого, кроме отечественных уровня выше 5, как у винды. Но не суть.

Сайты и документооборот, когда постепенно в процессе импортозамещения переведут на открытые технологии, Linux пойдет как по маслу. Ну и плюс из стандартов образования, когда уберут требования ППО на базе Windows. А так со скрипом только и при помощи терминальных ухищрений приходится образовательный процесс строить. Хотя можно было бы и с меньшим скрипом, но увы - стандарты есть стандарты. Благо и в этом процессе сдвиг пошел. Будем надеяться.

Антон Мидюков · « **Ответ #130 :** 13.06.2015 10:41:58 »

Цитата: neobht от 13.06.2015 10:29:09

Я вскольз посмотрел про Linux в этом списке и что-то даже не увидел ни у одного другого, кроме отечественных уровня выше 5, как у винды.

Зато у того же RHEL ОУД4 (максимальный 7), уровень недекларированных возможностей НДВ 4 -- низший уровень (почитать здесь).

ruslandh · « **Ответ #131 :** 13.06.2015 10:46:54 »

Цитата: neobht от 13.06.2015 10:29:09

Я вскольз посмотрел про Linux в этом списке и что-то даже не увидел ни у одного другого,

Ищите "Red Hat Enterprise Linux Server release" есть и 4-уровень.

PS А нафига нам зарубежные?

ruslandh · « **Ответ #132 :** 13.06.2015 10:48:20 »

Цитата: Антон Мидюков от 13.06.2015 10:41:58

НДВ 4 -- низший уровень

Не путайте уровень контроля и уровень НСД

http://www.iso27000.ru/zakonodatelstvo/normativnye-dokumenty-fstek-rossii/rukovodyaschii-dokument-sredstva-vychislitelnoi-tehniki-zaschita-ot-nesankcionirovannogo-dostupa-k-informacii-pokazateli-zaschischennosti-ot-nesankcionirovannogo-dostupa-k-informacii

neobht · « **Ответ #133 :** 13.06.2015 11:19:19 »

Цитата: YYY от 13.06.2015 10:27:38

Цитата: Антон Мидюков от 13.06.2015 10:15:48
Если программный продукт имеет более высокий класс защищённости под Винду, то класс защищённости их совместного использования не будет никогда равен классу защищённости решения под Винду.
Правильно. Класс будет равен классу самого слабого компонента.

При аттестации рабочего места рассматривается совокупность средств. Иначе бы рабочие места, например, для обработки ПДН нельзя было бы делать на Windows, а это самая распространенная схема. И в первую очередь именно ее и предлагают всякого рода профильные организации и когда просишь их сделать решение на Linux, они начинают задумываться. Хотя потом конечно находят решение, но оно не сильно то легко дается и порой выходит даже дороже :(

YYY · « **Ответ #134 :** 13.06.2015 11:45:20 »

Цитата: neobht от 13.06.2015 11:19:19

Иначе бы рабочие места, например, для обработки ПДН нельзя было бы делать на Windows

почему? если класс защиты винды устраивает для обработки ПДН - делайте ;)

Форум сообщества
Альт Линукс