Comments 64
Насколько я знаю, все немного не так.
Сертификат ФСТЭК выдается на конкретную версию ПО с конкретной контрольной суммой. То есть все, что пишут про ФСТЭК сертификацию в рекламах — это здорово, но если вы захотите купить проверенный софт — вас отведут в сторонку и тихо предложат цену на 10-15-100 тысяч дороже «непроверенной» версии.
Суть в чем. После прохождения проверки производитель софта печатает диски с этой конкретной версией программы. Эти диски отправляются в ФСТЭК. Там они проверяются на совпадение контрольных сумм. КАЖДЫЙ диск. Затем на каждый проверенный диск ставится ПЕЧАТЬ ФСТЭК. Ставить софт можно только с этого диска с печатью, и разумеется никаких апдейтов. Иначе вы не пройдете сертификацию, скажем, на закон о персональных данных.
Оценили маразм процедуры, да? Особенно в случае с антивирусом.
Бюрократы в очередной раз победили разум.
Сертификат ФСТЭК выдается на конкретную версию ПО с конкретной контрольной суммой. То есть все, что пишут про ФСТЭК сертификацию в рекламах — это здорово, но если вы захотите купить проверенный софт — вас отведут в сторонку и тихо предложат цену на 10-15-100 тысяч дороже «непроверенной» версии.
Суть в чем. После прохождения проверки производитель софта печатает диски с этой конкретной версией программы. Эти диски отправляются в ФСТЭК. Там они проверяются на совпадение контрольных сумм. КАЖДЫЙ диск. Затем на каждый проверенный диск ставится ПЕЧАТЬ ФСТЭК. Ставить софт можно только с этого диска с печатью, и разумеется никаких апдейтов. Иначе вы не пройдете сертификацию, скажем, на закон о персональных данных.
Оценили маразм процедуры, да? Особенно в случае с антивирусом.
Бюрократы в очередной раз победили разум.
изменения, вносимые в сам антивирус периодически проходят инспекционный контроль и вносятся в сертифицированный дистрибутив. При этом сертификат остаётся тем же. Обновления в плане антивирусных баз на антивирусах есть.
Насколько знаю я, при проверке ИСПДн ФСТЭКом просто предъявляться сертификат на антивирус и вам ставится галочка в соответствующей графе…
это зависит от того, как сертифицировался софт — отдельный экземпляр (серия) или производство. Если второе, то можно самому размножать диски (однако никаких апдейтов и изменений — контрольные суммы фиксируются при сертификации)
Насколько я в курсе — сертификат выдается на «экземпляр», а не на версию ПО. Т.е. есть дистрибутив, который передают на сертификацию, и с которого потом снимают копии. И если 1 байт в документации поменялся, то это уже не тот «экземпляр».
Я так погалаю, государство заботит не качество антивируса, но немного другие вещи.
Представьте себе, что вы владелец компании А. Компания Б предлагает поставить на ваши компьютеры оч.полезную программу (правда полезную), но при этом компания Б — ваш прямой конкурент вплоть до наезда братков.
Вы согласитесь? Я так думаю, что даже контрольных сумм и печатей на дисках вам покажется мало.
Немного не из той области пример, но, как мне кажется, в тему. В Ванкувере есть такая софтовая компания MDA, занимается в том числе и военными контрактами. Частная фирма, но выполняет требования государства.
Так вот, там есть контракты на которых берут не всех программистов, а только удовлетворяющих некоторым критериям. Требования в зависимости от контракта могут быть (по возрастанию секретности):
1. Имеет право работать в Канаде.
2. Постоянный житель Канады (типа гринкарты).
3. Гражданин Канады.
4. Гражданин Канады, который родился не в «опасной» стране (северокорейцам или белорусам до свидания).
5. Гражданин Канады, который родился в стране НАТО.
6. Гражданин Канады, который родился в Канаде (т.е. не иммигрант).
7. Гражданин Канады, родители которого (оба!!) и он сам родились в Канаде.
Это я к тому, как подходят к секретности не в самой милитаристской стране мира.
Представьте себе, что вы владелец компании А. Компания Б предлагает поставить на ваши компьютеры оч.полезную программу (правда полезную), но при этом компания Б — ваш прямой конкурент вплоть до наезда братков.
Вы согласитесь? Я так думаю, что даже контрольных сумм и печатей на дисках вам покажется мало.
Немного не из той области пример, но, как мне кажется, в тему. В Ванкувере есть такая софтовая компания MDA, занимается в том числе и военными контрактами. Частная фирма, но выполняет требования государства.
Так вот, там есть контракты на которых берут не всех программистов, а только удовлетворяющих некоторым критериям. Требования в зависимости от контракта могут быть (по возрастанию секретности):
1. Имеет право работать в Канаде.
2. Постоянный житель Канады (типа гринкарты).
3. Гражданин Канады.
4. Гражданин Канады, который родился не в «опасной» стране (северокорейцам или белорусам до свидания).
5. Гражданин Канады, который родился в стране НАТО.
6. Гражданин Канады, который родился в Канаде (т.е. не иммигрант).
7. Гражданин Канады, родители которого (оба!!) и он сам родились в Канаде.
Это я к тому, как подходят к секретности не в самой милитаристской стране мира.
Для чего вам ставить программу компании Б, если вы разрабатываете такие же программы?
Ну, например, компания А создает продукт Х, а компания Б создает продукты Х и Й. Продукты Х у обеих компаний конкурируют, но компания А не хочет создавать продукт Й, а хочет сконцентрироваться только на Х, т.к., например, он обладает большим функционалом и работает лучше. Поэтому и может возникнуть описанная ситуация.
Напоминает отбор в SS… Арийская родословная до 7-го колена…
Ну что ж вы такое говорите! Это же демократическое государство. А правила американские, а штаты — самое демократическое государство из самых демократических.
Вот, кстати, как пример из объяв из софтового филиала Боинга:
This particular project requires AeroInfo to hire individuals who meet the following citizenship/place of birth requirements. In order to be eligible for participation in this project you must be:
a United States Citizen (with eligibility to work in Canada)
OR
a Canadian citizen/permanent resident who was not born in or have citizenship from one of the following countries: Afghanistan, Belarus, China, Côte d'Ivoire, Cuba, Democratic People's Republic of Korea, Democratic Republic of the Congo, Eritrea, Haiti, Hong Kong, Iran, Iraq, Lebanon, Liberia, Libya, Myanmar, Russia, Sierra Leone, Somalia, Sri Lanka, Sudan, Syria, Ukraine, Venezuela, Vietnam, Yemen, and Zimbabwe.
Вот, кстати, как пример из объяв из софтового филиала Боинга:
This particular project requires AeroInfo to hire individuals who meet the following citizenship/place of birth requirements. In order to be eligible for participation in this project you must be:
a United States Citizen (with eligibility to work in Canada)
OR
a Canadian citizen/permanent resident who was not born in or have citizenship from one of the following countries: Afghanistan, Belarus, China, Côte d'Ivoire, Cuba, Democratic People's Republic of Korea, Democratic Republic of the Congo, Eritrea, Haiti, Hong Kong, Iran, Iraq, Lebanon, Liberia, Libya, Myanmar, Russia, Sierra Leone, Somalia, Sri Lanka, Sudan, Syria, Ukraine, Venezuela, Vietnam, Yemen, and Zimbabwe.
PayPal не любит примерно тот же список стран.
Ну я еще понимаю насчет Медвепутии и «последней европейской диктатуры», но чем им так Незалежная-то не угодила? Вот уж где настоящая демократия, их вроде даже в ВТО взяли.
Зато Румыния, Албания, Косово — велкам.
Украина в подвешенном состоянии, куда она качнется, непонятно, так что воизбежании.
Вот как обидно программистам из Афганистана, Гаити, Эритреи, Сомали, Судана, Зимбабве!
Кстати, даже при наличии канадского гражданства (даже если оно у тебя единственное) если ты родился в Иране (даже 55 лет назад, когда иранский слон был лучшим другом американского слона, и вывезен оттуда в пять лет) то при поездке в штаты тебе скорее всего потребуется виза. Есть исключения, если ты, например не мусульманин, а беженец-бахайя, но в общем случае нужна виза, которую непросто получить.
Украина в подвешенном состоянии, куда она качнется, непонятно, так что воизбежании.
Вот как обидно программистам из Афганистана, Гаити, Эритреи, Сомали, Судана, Зимбабве!
Кстати, даже при наличии канадского гражданства (даже если оно у тебя единственное) если ты родился в Иране (даже 55 лет назад, когда иранский слон был лучшим другом американского слона, и вывезен оттуда в пять лет) то при поездке в штаты тебе скорее всего потребуется виза. Есть исключения, если ты, например не мусульманин, а беженец-бахайя, но в общем случае нужна виза, которую непросто получить.
Кстати, допустим, я русский с русским гражданством, но родился в семье военного еще в СССР в Риге — я белый человек. Смешно.
И при всём при этом перидически то ноутбук со всеми секретными данными продадут, потому что он старый и противный, то на работе в порновидеочате секреты выбалтывают, то ещё что.
Все эти правила они ни о чём, на работу надо брать идейных и неважно где они родились.
Все эти правила они ни о чём, на работу надо брать идейных и неважно где они родились.
— Все эти правила они ни о чём, на работу надо брать идейных и неважно где они родились.
Понятие идейности сложно определить и сложно вынести рещшение о соответствии. А это государство, должна быть простая и понятная клерку инструкция.
Хотя и на идеологию не забивают, в Канаде не так все жестко, а в штатах при получении гражданства человек должен произнести вот это:
«Настоящим я клятвенно заверяю, что я абсолютно и полностью отрекаюсь от верности и преданности любому иностранному монарху, властителю, государству или суверенной власти, подданным или гражданином которого я являлся до этого дня; что я буду поддерживать и защищать Конституцию и законы Соединённых Штатов Америки от всех врагов, внешних и внутренних; что я буду верой и правдой служить Соединённым Штатам; что я возьму в руки оружие и буду сражаться на стороне Соединённых Штатов, когда я буду обязан сделать это по закону; что я буду нести нестроевую службу в вооружённых силах США, когда я буду обязан делать это по закону; что я буду выполнять гражданскую работу, когда я буду обязан делать это по закону; и что я произношу эту присягу открыто, без задних мыслей или намерения уклониться от её исполнения. Да поможет мне Бог».
Понятие идейности сложно определить и сложно вынести рещшение о соответствии. А это государство, должна быть простая и понятная клерку инструкция.
Хотя и на идеологию не забивают, в Канаде не так все жестко, а в штатах при получении гражданства человек должен произнести вот это:
«Настоящим я клятвенно заверяю, что я абсолютно и полностью отрекаюсь от верности и преданности любому иностранному монарху, властителю, государству или суверенной власти, подданным или гражданином которого я являлся до этого дня; что я буду поддерживать и защищать Конституцию и законы Соединённых Штатов Америки от всех врагов, внешних и внутренних; что я буду верой и правдой служить Соединённым Штатам; что я возьму в руки оружие и буду сражаться на стороне Соединённых Штатов, когда я буду обязан сделать это по закону; что я буду нести нестроевую службу в вооружённых силах США, когда я буду обязан делать это по закону; что я буду выполнять гражданскую работу, когда я буду обязан делать это по закону; и что я произношу эту присягу открыто, без задних мыслей или намерения уклониться от её исполнения. Да поможет мне Бог».
Что мешает ставить *nix для того, чтобы не пользоваться антивирусными продуктами, которые одобряет ФСБ?
а с каких пор ФСБ одобряет *nix?
Например:
Операционная система ALT Linux 4.0 Desktop Professional, децимальный номер 46.21376425.501110-02 DVD – по 4 уровню контроля НДВ, по 5 классу СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно)или:
Комплексное серверное решение OpenReferent on ServerUnited 1.0.10 в составе: Red Hat Enterprise Linux 5.2 Server; Lotus Domino 8.0.1; OpenReferent 3.1.4 — ЗБ, ОК(2ОУД), по 4 уровню контроля отсутствия НДВ( может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно)Много их.
Приказ ФСТЭК РФ от 05.02.2010 N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.
… независимо от используемых ОС
Например то, что 98% ПО разрабатывается под Windows и под Linux разрабатываться не будет.
В том-то и дело, если ваша информационная система попадает под какой-нибудь закон о сертификации/соответствии каким-то требованиям, где упомянут антивирус, то он нужен, причём сертифицированный, даже если ОС как таковой у вас вообще нет и программа грузится с биоса.
известно, что есть фейковые антивирусы. также известно, что по закону о госзакупках госучреждение обязано выбрать заявку по наименьшей цене. сертификация дает хотя бы защиту от того, что будет поставлен фейковый антивирус (фактически вирус), компания хотя бы раз прошедшая сертификацию вряд ли будет поставлять откровенный фейк.
Вот только законы о сертификации касаются не только государственных учреждений, а всех. Обрабатываете персональные данные (просите пользователей ввести ФИО и адрес в форме регистрации/заказа интернет-магазина) — получайте сертификат на свою систему, а для этого, в числе прочего, ставьте сертифицированный антивирус и при прохождении сертификации своей системы предъявляйте этот сертификат.
С одной стороны вроде забота о гражданах, чтобы их персональные данные не утекли из-за кривых рук пользователей (операторов, редакторов и т. п.), админа или разработчика. С другой стороны большой бюрократический, да и финансовый барьер для ведения бизнеса. А уж какую возможность коррупции это даёт…
С одной стороны вроде забота о гражданах, чтобы их персональные данные не утекли из-за кривых рук пользователей (операторов, редакторов и т. п.), админа или разработчика. С другой стороны большой бюрократический, да и финансовый барьер для ведения бизнеса. А уж какую возможность коррупции это даёт…
>А вот тут, в сертификате соответствия от ФСБ, они есть, но какой же в них смысл? Лишь проверить дистрибутив перед установкой.
crc легко подделываются.
crc легко подделываются.
Забавно, фсб сертифицировала setup.exe. Очень нужная сертификация =)
> но неужели те, кто выдает такие вещи не понимают всей бредовости ситуации
Им понимать без надобности. Они так зарабатывают.
Им понимать без надобности. Они так зарабатывают.
Обновления DrWeb для «учреждений» выпускается 1 раз в год на компакт-диске, с установщиками и базами. CRC32 всех файлов есть в .txt и в бумажном виде. Это официальный и единственный диск для обновлений.
Что уж говорить об актуальности баз и угроз?
Что уж говорить об актуальности баз и угроз?
Имхо, данная задача (защита пользователей от вирусов путем установки антивирусов+защита государства от происков врагов в IT-сфере путем установки только проверенного ПО) в целом теоретически неразрешима. Технически невозможно проверять и хешировать каждый апдейт антивируса, выходящий каждые 3 часа.
Вывод: данная система как говорил автор выше предназначена ТОЛЬКО для прикрытия пятых точек членов всей иерархии (а она большая). Ну и денежки тож капают…
Так что не надо расстраиваться — данная система НЕ ПРЕДНАЗНАЧЕНА для защиты конечного пользователя.
Вывод: данная система как говорил автор выше предназначена ТОЛЬКО для прикрытия пятых точек членов всей иерархии (а она большая). Ну и денежки тож капают…
Так что не надо расстраиваться — данная система НЕ ПРЕДНАЗНАЧЕНА для защиты конечного пользователя.
… вообще все эти требования защиты ПД в ФЗ №152 и технические требования к реализации в сопутствующих документах, на мой взгляд и если сказать мягко, неэффективны — на выходе получаем формальную (бумажную) безопасность и раздувание рынка ИБ. Вместо внедрения управления безопасностью и интеграции с процессами управления предприятия. Вместо определения ответственности оператора за собственно утечку ПД. Соответствие. Контроль формы вместо контроля содержания (сути). Профанация?
Рынок антивирусов это огромные деньги — у лабораторий касперского годовой оборот около 2 миллиардов долларов.
Властям тоже хочется поиметь кусочек с этого, для того и вводятся обязательные сертификации, а не для «обеспечения информационной безопасности».
Властям тоже хочется поиметь кусочек с этого, для того и вводятся обязательные сертификации, а не для «обеспечения информационной безопасности».
ФСБ навязывает использования своих «фирменных» алгоритмов шифрования, взамен малопонятных им общемировых
Помню-помню, был в свое время один общемировой — DES. Умер. Потом 3DES. Тоже умер. А советский ГОСТ от 1989 года до сих пор живее всех живых и шифрует всю гостайну.
Вообще, удивляет непонимание элементарных вещей. При создании алгоритма можно заложить уязвимости, которые будут обнаружены через годы или вообще никогда.
Кстати, помню один из преподов говорил мне, что если вдруг когда-нибудь будут рассекречены советские материалы по шифрованию, то выяснится, что многие нынешние общемировые алгоритмы — с бородой…
Где-то смотрел таблицу стойкости… да, ГОСТ посильней даже относительно молодого md5, хотя и не так распространён.
Ну, сам служил командиром взвода связи и сам помогал начальнику связи, начальнику секретной части проходить сертификацию ФСТЭК помещения для хранения и обработки документов, содержащих секретные сведения. Так вот, чтобы ПК прошел сертификацию и на нем разрешили обработку указанных документов, должен быть оборудован либо шифрованной ОС (приобретается у сертифицированных и лицензированных ФСБ организаций), либо системой шифрования данных, поверх которой потом ставятся лицензионные ПО: ОС, антивирус, пакет офиса и т.д. Ставили отечественную систему шифрования «Щит». Антивирус ставили тот, который нам порекомендовали (Касперского 5.0). Так вот, все критические обновления и обновления БД потом нам привозили на дисках те же ребята, которые и устанавливали систему, проводили настройку и проводили подготовку к сертификации ПК и помещения. Вообщем, дальнейшее обслуживание также было от их организации. И еще, данный ПК был весь увешан замками. Подключение к любой сети было невозможно как на физическом, так и на программном уровне.
Ну и добавлю, сама организация также имеет и лицензии, и прямое отношение к ФСБ.
Ну и добавлю, сама организация также имеет и лицензии, и прямое отношение к ФСБ.
В таких системах обычно организуется изолированная программная среда, в которой вирусы фактически не могут существовать в живом виде, т.к. работает белый список разрешенных для запуска приложений, так что антивирус там и не нужен по сути, можно и раз в год его обновлять.
Антивирус требовался по факту наличия в ОС (для «галочки»). В этом с Вами полностью согласен. По поводу белого списка — распространяется не только на приложения, но и на все переменные, на все оборудование. Все файлы зашифрованы. Как и сама файловая система. Все документы, созданные на этом ПК, можно в дальнейшем вывести на печать только с этого компа — на остальных — в не читаемом шифрованном виде. Поэтому угрозы вида «скопировать в карантин» и «передать на исследование аналитикам вирусной лаборатории» — будут напрасны. Документы, составляющие гостайну или помеченные грифом «совершенно секретно», насколько я помню, хранить на электронных носителях запрещено. Остальные документы имеют очень низкую временную информационную ценность.
Конечно, если речь идет о различного рода ИЦ (организации, имеющие статус оператора обработки персональных данных), то тут утечка персональных данных, указанным в топике путем, возможна, но маловероятна и подозрительна своей открытостью и массовостью. Если антивирус будет ежедневно выкачивать файлы БД и передавать их на анализ — то это должно вызвать подозрения у системных администраторов и администраторов БД.
Конечно, если речь идет о различного рода ИЦ (организации, имеющие статус оператора обработки персональных данных), то тут утечка персональных данных, указанным в топике путем, возможна, но маловероятна и подозрительна своей открытостью и массовостью. Если антивирус будет ежедневно выкачивать файлы БД и передавать их на анализ — то это должно вызвать подозрения у системных администраторов и администраторов БД.
Ну для секретных (гостайна) данных это оправдано, наверное, но ведь фактически закон обязывает использовать (а предварительно сертифицировать) чуть ли не аналогичную описанной вами систему для, например, интернет-магазина.
И да, поставщики ПО для вашего интернет-магазина должны иметь лицензии и сертификаты, чтобы иметь право поставлять вам ПО, а иначе вы сертификацию не пройдёте. А что-то мне подсказывает, что организации имеющей отношение к ФСБ лицензию и сертификаты получить проще, чем не имеющей.
И да, поставщики ПО для вашего интернет-магазина должны иметь лицензии и сертификаты, чтобы иметь право поставлять вам ПО, а иначе вы сертификацию не пройдёте. А что-то мне подсказывает, что организации имеющей отношение к ФСБ лицензию и сертификаты получить проще, чем не имеющей.
Я один вижу на втором сертификате «Windows Worktation MP4»?
В нашей стране все строится на двойных стандартах. И системы защиты должны быть двойными. Одна для бумаги другая для реальной работы. Вот у меня официально шлюз построен на win2003, а в реальности на FreeBSD. И не парюсь.
Sign up to leave a comment.
Размышления о государственной сертификации антивирусов