15.05.2013

Как провести поиск НДВ в продукции американского происхождения

Межпраздничная дискуссия в блоге и в Фейсбуке в очередной раз высветила некоторые проблемы с оценкой соответствия в форме поиска недекларированных возможностей и доказывания их отсутствия. Если посмотреть на проблему с точки зрения американской компании. Таких исследований, к счастью, никто не проводил, но по моим личным оценкам из 65-70% средств защиты иностранного происхождения присутствующих в России, до 75-80% из них приходится на продукцию, изготавливаемую в США. Поэтому рассмотрение проблемы в таком аспекте является достаточно интересным для достаточно широкого круга специалистов (особенно в органах по сертификации, испытательных лабораториях, экспертных организациях и регуляторах).

Итак, недекларированные возможности. Даже сертификация на 4-й уровень их отсутствия требует предоставления достаточно чувствительной информации. Исходные коды только один из вариантов такой информации, причем далеко не всегда самый важный и критичный. Например, для компании, выпускающей программно-аппаратные, а не только программные средства защиты, гораздо более конфидениальной является информация о системотехнике, архитектуре, функциональные спецификации и т.п. Предоставление этой информации относится к лицензируемому виду деятельности и требует разрешения от Бюро по промышленности и безоппасности, являющегося частью Министерство торговли США. Задача данного подразделения - блюсти экономические интересы США и контролировать среди прочего экспорт высоких технологий и технологий двойного назначения. В частности в т.н. Commerce Control List (CCL) есть параграф "5A002 "Information security" systems, equipment and components therefor, as follows". В него (он не единственный, но один из основных) входит немало того, что требует получения лицензии американского Минпромторга. Также к контролируемым относятся позиции 5A992 и 5B002. Иными словами первый вопрос, на который надо ответить, ЧТО экспортируется и средства защиты, включая средства шифрования, а также элементы, разработанные для работы средств защиты (специальные модули, операционные системы, приложения, микросхемы и т.п.) полностью подпадают под экпортные ограничения из США.

Однако ответа на вопрос ЧТО недостаточно для принятия решения об экспорте средств защиты. Надо ответить на вопрос КУДА, т.е. определить страну, в которую будет экспортироваться средство защиты. У Минпромторга есть регулярно обновляемая т.н. Commerce Country Chart, которая содержит список стран с указанием причины экспортного контроля. Как можно заметить Россию включили в этот список по направлениям "химическое и биологическое оружие", "национальная безопасность", "стабильность в регионе" и "преступность". Иными словами, средства защиты, будучи контролируемыми вообще, могли и не попасть под контроль для России, но увы... Если посмотреть на CCL, то в нем против каждой контролируемой позиции указаны причины (для средств защиты - это "национальная безопасность" и "антитерроризм".

Затем мы должны ответить на вопросы КТО будет использовать то или иное средство защиты. Например, поставка средств защиты в государственные органы контролируется более серьезно, чем в коммерческие предприятия и уж тем более в малый бизнес. А вообще в США есть несколько "черных" списков стран, организаций и лиц, которым запрещена поставка той или иной продукции. И, наконец, последний вопрос - ЗАЧЕМ. Может быть в производстве оружия массового поражения?

Исходя из ответов на эти 4 вопроса (на самом деле достаточно первых двух) делается вывод о том,  что в Россию из США средства защиты, средства шифрования, а также сопутствующая им информация попадает только после получения соответствующего разрешения американского Минпромторга. В каких-то случаях, это делает легко и автоматически (производителем), в каких-то - требуется серьезная и длительная процедура согласований и обоснований. К последним относится и предоставление исходных кодов, архитектуры, функциональных спецификаций, различные схемы чипов и т.д.

Что это все значит? Только одно - сертификация средств защиты, разработанных американской компанией, на отсутствие НДВ, даже если физически программисты сидят в Индии и сборка средства защиты осуществляется в Китае, требует получения соответствующего разрешения Бюро промышленности и безопасности Минпромторга США. Если же у компании нет соответствующей лицензии, а сертификат на НДВ есть, то это значит, что произошло одно из трех событий:
  • Американская компания нарушила американское законодательство. Это очень чревато для американского производителя. Очень! Рисковать своим бизнесом ради сомнительной выгоды продать своих средств защиты в Россию на дополнительные даже 20 миллионов долларов никто не будет.
  • ФСТЭК наложила множество ограничений на использование сертифицированного средства защиты и все они должны быть прописаны в технических условиях, прилагаемых к сертификату (и которые часто скрываются заявителем или испытательной лабораторией).
  • Испытательная лаборатория или орган по сертификации закрыли глаза на отсутствие исходных кодов или использовали какие-нибудь обходные маневры.
Иногда звучит тезис, что достаточно вывезти специалистов сертификационной лаборатории в США и они там проведут все проверочные испытания, после чего, вернувшись, смогут выдать заключение о присутствии или отсутствии недекларированных возможностей. При этом считается, что никаких исходных кодов передавать в Россию не надо и поэтому никаких лицензий Минпромторга получать не требуется. Это неверно. Под экспортный контроль попадает не передача исходных кодов, а передача чувствительной информации, спектр которой очень широк и часть этой информации обязательно попадает в отчет, который пишется (или как минимум проверяется и читается) уже в России. Поэтому если исходные коды и не передаются, то передается архитектура защитного средства, его функциональные спецификации и другая конфиденциальная информация. А это также требует получения лицензии Минпромторга США.

Собственно к чему этот рассказ? К тому, что передача исходных кодов за пределы России - это не такая уж и простая процедура (срок получения лицензии американского Минпромторга может составлять до года и более). И идет на нее далеко не каждый разработчик средств защиты - требуется серьезное обоснование (бизнес-кейс). И очевидно, что процесс поглощений и слияний также влияет на перспективы того или иного иностранного игрока, действующего в России. Если у какой-либо неамериканской компании был сертификат на отсутствие НДВ, то такой сертификат может быть и не продлен после ее поглощения или срок его получения существенно возрастет по сравнению с первоначальными оценками.

70 коммент.:

Зозимос Лизириди комментирует...

К тому, что передача исходных кодов за пределы России - это не такая уж и простая процедура.
Или за пределы США?

Алексей Лукацкий комментирует...

Да, США. Спасибо

Зозимос Лизириди комментирует...

А вот интересно, что должно остаться в испытательной лабаратории после испытаний в качестве доказательства того, что исходные коды были получены и изучены? Сами же исходные коды должны быть уничтожены после всех испытаний?

Евгений Родыгин комментирует...

По крайней мере (без учета "серой зоны") остается перечень файлов исходных текстов и контрольная сумма каждого файла. Ну и программно-методические и отчетные материалы. Акты приема-передачи, отбора образца, идентификации, контрольной сборки...

Сергей Борисов комментирует...

Доказательство - журналы специального ПО, протоколы, подписанные специалистами и выборочные скриншоты в процессе.

Для НДВ4 требуется скомпилировать исходный код на стенде и снять контрольные суммы.
Про передачу самого исходного кода кому бы то ни было речи не идет?!

Или я не прав, тогда покажите где такое требуется.

Но если и для такой компиляции требуется лицензия Минпромторга США, как говорит Алексей, это действительно значит что у американских продуктов мало шансов получить сертификаты на НДВ.

Вроде бы сейчас таких немного:
McAfee, IBM, CheckPoint, Symantec
Вполне может быть что 4 разрешения были получены?

Евгений комментирует...

Сергей, подскажите а какие НДВ могут быть выявлены если сам исходный код не проверяется, а только компилируется?

Сергей Борисов комментирует...

А кто говорит о выявлении НДВ?
Есть разные уровни контроля. 4-тый самый низкий.

Какой-то контроль он выполняет и какие то цели достигаются.

Хотя бы то, что ПО фиксируется в том виде, в котором приходит на испытания.
И потом в него не будут вносится изменения (закладки).

Евгений Родыгин комментирует...

А чего гадать: http://goo.gl/dXuI3

Евгений комментирует...

Я читал требования к 4 уровню, мне просто хотелось бы понять какой здесь "контроль НДВ", если фактически контроль недекларированных возможностей то и отсутствует. Ну да это риторически...

Евгений Родыгин комментирует...

Евгений.
А поступали предложения усилить 4 уровень контроля избыточностью и поиском критических конструкций...
но...

Svetlana Ragimova комментирует...

Алексей, здравствуйте! Я бы хотела у вас взять комментарии для статьи. Как можно с вами связаться? спасибо!

mike комментирует...

"Blogger Евгений Родыгин пишет...
Евгений.
А поступали предложения усилить 4 уровень контроля избыточностью и поиском критических конструкций..."

народ в этом случае говорит примерно так :
"что только у нас не придумают, чтобы еще денег срубить"... :)

Алексей Лукацкий пишет...

Алексей, ты смотрю никак не уймешся пытаешься доказать какой умный ....
Тогда скажи = вот у нас в ФСБ прошли сертификацию оба продукта.
Тоесть это не какой то НДВ - тут исходники смотрелись самым тщательным образом.
Объясни плиз: стоунсофт криптографию не разрабатывает и библиотеки отданные им это Американские библиотеки ..... между прочим. Конечно же на это было получено официальное согласие.
Как быть? опять твой стройный рассказ рушится ..... :)

Евгений Родыгин комментирует...

2 mike:
народ всякое говорит...

Чего ж вы с таким отношением... Машете флагами что вы такие замечательные измазались в такой лаже как сертификация?..

"Все продукты *** имеют сертификаты ФСТЭК России, удостоверяющие соответствие высоким классам защищенности, что позволяет широко использовать линейку *** для защиты высококритичных информационных систем органов государственной власти, государственных и коммерческих предприятий и организаций любого масштаба, включая информационные системы персональных данных до 1 класса и автоматизированные системы до класса 1Г, включительно."

Где же тут высокие классы если до аж 1Г!!! Для 1Г как раз 4 НДВ и нужен ну и ТУ (которые видимо тщательно скрываются?)...

Может опубликуете? Подписанные полные... Пройдемся по ним...?!

mike комментирует...

Буквоед никак не уймется ..... Я вас за живое задел да ? :)

Евгений Родыгин комментирует...

Оказывается "народ" порадовался давно (читаем комменты): http://www.tsarev.biz/news/novye-sertifikaty-fstek-na-resheniya-stonesoft/

Так что же? Михаил Романов Директор по развитию бизнеса в России, СНГ и странах Балтии Stonesoft боится опубликовать сертификаты, формуляры и ТУ на странным образом сертифицированные поделки?

mike комментирует...

Чего ж вы с таким отношением... Машете флагами что вы такие замечательные измазались в такой лаже как сертификация?..

Евгений = не выдавайте желаемое за действительное - я говорил про мнение народа.
Мое мнение не играет роли - я занимаюсь работой и для меня это этап этой работы.

Евгений Родыгин комментирует...

Там собрался у ворот
этот как его НАРОД
...
Так документы то опубликуете?
Или есть чего скрывать?
НАРОД должен знать чему соответствуют поделки!

mike комментирует...

Евгений.

Так что же? Михаил Романов Директор по развитию бизнеса в России, СНГ и странах Балтии Stonesoft боится опубликовать сертификаты, формуляры и ТУ на странным образом сертифицированные поделки?

Сертифициванные поделки сейчас покупает Макафи за очень большую сумму .... вы такую сможете сделать ? :)

сертификаты и формуляры кому надо тому и раздаются ... :)

Евгений Родыгин комментирует...

Михаил, мне не интересно на какой марке авто вы ездите...

Но, похоже, у вас не все чисто...

Вывод:
Stonesoft боится опубликовать сертификаты, формуляры и ТУ на странным образом сертифицированные поделки! Можно догадаться что там неликвид или может их вообще нет ?!

Евгений Родыгин комментирует...

Почему же Михаил сертифицировал так странно...
Цитата:
"mike Says:
октября 19, 2010 at 13:07
Сертификат сделан для использования везде где требуется сертификация.
Класс НДВ – 4 пока получился из за длительности такой сертификации – должен был быть 3 класс – просто очень уж долго было."

А теперь заглянем в два любопытных документа:
1.
http://www.docstoc.com/docs/147198680/436576-3

2.
http://goo.gl/25EoE

Так может быть для этого ?..
И эти люди запрещают нам ковыряться в носу ?!

mike комментирует...

Евгений Родыгин пишет...

Но, похоже, у вас не все чисто...

Евгений. Вы смотрю из себя господь бога решили изобразить? Решили перепроверить ФСТЭК по буквоедству?


Вы не закрывайте Лукацкого, он опять опус написал красивый но не соответствующий немного действительности. А вы забалтываете тему.

Кстати а что ж вы такой специалист, в Гамме не оправдали оказанного вам доверия по сертификациям?
ТАк красиво говорите а делать видимо не так красиво получается?
Вот люди в Гамме очень улыбаются при назывании вашей Фамилии ? а ? :)



Сергей Борисов комментирует...

Евгений Родыгин, а в чем проблема то?
Любая сертификация СЗИ продукции делается для того чтобы занять или попасть на определенный рынок и в конечном итоге повысить продажи.

Разве у коммерческой компании могут быть другие цели?
Нельзя это представлять как обвинение.

К слову сказать партнерам и заказчикам они передают все необходимые документы.

Почему не публикуют? Наверное есть причины.
Западных вендоров сертифицированных в ФСБ у нас фактически нет. Публикация всего набора документов = минус 3-6 месяцев работы для конкурентов.
Почему бы им не защищать свои вложения?

ZZubra комментирует...

Прикольно составлено ТЗ )))) Это ж просто классика!!!! Сам продукт не назван, но явно и четко прописан номер ТУ: "...по 4 уровню контроля и технических условий ТУ 4012-001-89625543-09"
Нука предъявите мне набор разных продуктов (разных производителей), имеющих сертификацию по ТУ одного из них! Это ж прям в "роспил" (http://rospil.info/) просится )))) Жесть.

PS А ведь сейчас охота на ведьм идет. Как бы прокуратура не прочитала, чего здесь написано и не заинтересовалась. Они могут. Вон у нас чего делается http://biz.cnews.ru/news/top/index.shtml?2013/04/18/526260 Цена вопроса 70 тыщ руб.

Евгений Родыгин комментирует...

Михаил: )))
Про Гамму не смешите... Я обещал не озвучивать почему ушел...
Но за пару лет я стал зам Директора, взростил 3 лаборатории, грамотами и благодарственными письмами обвешан и т.п.

Кстати Гаммовцам привет передавайте при случае... ;) Я до сих пор многим помогаю...

Чойта вы все стреляете и все мимо )))

Может я про себя вообще рассказ напишу а то скукота...
У всех в пушку, но все друг друга кусают )))

А Эла есть за что уважать, извините, он меру знает в отличии... И дает право на ошибки себе и другим...

Евгений Родыгин комментирует...

Сергей, дело в том, что поставляют они формуляры и ТУ... Можно запросить... Косяк в том, что в ТУ подписанном разработчиком или производителем, который официально является не Stonesoft а, внимание: ООО "Новые технологии безопасности" написано одно, а в рекламных материалах нечто другое... и уверен, сложилась ситуация, когда говорят что продукт сертифицирован, на на самом деле сертифицировано только 10% от рекламируемого! А несертифицированный функционал использовать для защиты нельзя. Потребителя вводят в заблуждение:
и получается вот это: http://kaskadsecurity.blogspot.ru/2013/04/blog-post_26.html

Сергей Борисов комментирует...

Евгений Родыгин, ну пока то вы документов не видели, а уже заявляете про 10%. Не голословно ли?

Из комплектов документов по сертификации, которые мне приходилось видеть, ни у одного производителя четко не понятно какие именно функции и как проверялись.
Если это и написано, то во внутренних документах испытательных лабораторий или органов по сертификации.

То что достается пользователю (в любом сертифицированном продукте):
-на соответствие каким требования сертифицирован
-какими функциями обладает продукт
-в какой среде функционирует
какие ограничения
-правила которые должны соблюдаться при эксплуатации

Что у С-терра, что у Стоунгейта что у Випнета - всё примерно одинаково коротко и непонятно.

Но при сложившейся ситуации, когда сертификаты нужны только для выполнения формальных требований, это никого не волнует.

Сергей Борисов комментирует...

пока требования к сертификатам - это регуляторные требования
а не бизнес требования

Евгений Родыгин комментирует...

Сергей:
Каюсь не видел, но некоторые есть. Остальные получить не проблема. Но разве кто то требует продолжения банкета?..

Общая беда в том, что пользуясь неинформированностью (а бывали смешные случаи когда представляли санитарные сертификаты и т.п.)
Сэйлер (будем считать что по незнанию в лучшем случае) заявляет потребителю, что его поделка сертифицирована. И потребитель думает что весь перечисленный на сайте функционал сертифицирован.

Но тут подвох. Автомобиль сертифицирован на то, что у него открывается багажник а потребителю кажется, что сертифицировано что все двери открываются.

В результате архитектор целевой системы строит СЗИ исходя из этого предположения. А потом оказывается, что антивирус, фаерволл и другие вкусности не сертифицированы! Сертифицирован не весь функционал и потребитель узнает что он нарушает требования по применению сертифицированных СрЗИ!

Ну да, рынок слаб, это мало кого волнует. Но если кто то задастся целью...

Вот и получается, что НЕПОФИГ и нужно страховаться... И тут небрежность становится проблемой!

Anosov комментирует...

Евгений:
Гнать в шею такого архитектора, тем более, если он не разбирается в теме по сертифицированным продуктам и в системе сертификации, а только шашкой махать и получать за это з.п.
Если человек грамотный, то он разберется в теме с СЗИ и получит необходимые данные для написания проекта, использующего сертифицированные СЗИ.
Это не небрежность, это неквалифицированность...
ПР есть ПР. Реклама не говорит о содержимом продукции....) Как пример великий производитель булок от клоуна и о их здоровой пищи. И как на другом континенте данная продукция повысила здоровье их стране. И т.д. это про рекламу и как ее воспринимать, но это не тема для обсуждения здесь.

Сергей: вынужден не согласиться про коротко и не понятно, т.к. кто разберается в этом, тот знает где искать. Мне вот преподаватели в ВУЗах научили, что всех формул не запомнищь, но зато надо знать где искать!

Статья довольна интнресная, но очень уж поверхостная.
и как я понял один из ведущих производителей никак не может получить "лицензию Минпромторга США" и связано это с "национальной безопасностью" и недавним задержанием в Москве шпиона США)
уж не сдержался) извиняюсь за возможные ошибки и за краткость - писал с телефона

ZZubra комментирует...

>>Мне вот преподаватели в ВУЗах научили, что всех формул не запомнищь, но зато надо знать где искать!

Именно такие "преподаватели" развалили систему образования и опустили уровень образования ниже плинтуса. Ведь они не уточняли, что это не относится к закону Ома, а относится только к дифференциальной форме закона Максвелла и то только из-за того, что Вы знаете его в интегральной форме и знаете переход от одной формы к другой. Зато теперь имеем полный игнор образования и развития памяти и ума (как синергетического эффекта количества информации в голове) начиная со школы и заканчивая кандидатами и докторами "наук". Вот хоть убейте, не помню чтобы Капица, Курчатов, Королев и другие прорывные научные светила хоть раз где-то произнесли эту фразу-убийцу образования.

PS Гнать надо любого преподавателя или управленца в сфере образования и из школы и из ВУЗа, который не то что произносит такое, а даже думает так.

Алексей Лукацкий комментирует...

Anosov: как раз наоборот - у нас такая лицензия есть и достаточно давно

Евгений комментирует...

>Если человек грамотный, то он разберется в теме с СЗИ и получит необходимые данные для написания проекта, использующего сертифицированные СЗИ.

Ага, и после изучения сертифицированных возможностей сертифицированных СЗИ поймет, что только на них защиту современной ИС не построишь. Пока сертификация остается хотелкой регулятора по поддержанию рынка отечественных СЗИ, а не необходимостью для бизнеса, в коммерческом сегменте это так и останется профанацией.

mike комментирует...

Blogger Евгений Родыгин пишет...
Вывод:
Stonesoft боится опубликовать сертификаты, формуляры и ТУ на странным образом сертифицированные поделки!

Евгений а вы пожалуйтесь во ФСТЕК. :)

Документы мы даем всем нашим партнерам и клиентам. Точно так же и другие вендоры. Покажите мне опубликованные ТУ других вендоров - например Циско на последние сертификации? :) Демагогам - только после подтверждения их компетенции... :)
Вы вроде участвовали в сертификации чекпоинта ? так ?
ну так выложите ТУ и прчоее тут - посмотрим, умеете или нет и я тогда выложу.
У нас проблем нет. :)

однако Евгений сильно тут старается для ЛУкацкого спасая его от ответа на мой вопрос - который я ему задал. МОжет мы тут по ТЕМЕ услышим ответы?
А то Евгений все вопросы только к сертификации сводит причем к демагогии....

Евгений если хотите - можете перенесли флейм про сертификацию в свой блог - который вы тут привели.
Мне например будет очень интересно узнать как вы АДАПТИРОВАЛИ для сертификации функционал например чекпоинта ( если его сертифицировали).

А насчет Гаммы - вы не стесняйтесь, расскажите. :)

mike комментирует...

Blogger Евгений пишет...

"Ага, и после изучения сертифицированных возможностей сертифицированных СЗИ поймет, что только на них защиту современной ИС не построишь."

Евгений а вы искренне считаете что сертификатом можно от хакеров защититься ? да ? :)
И наверное искренне считаете, что после вашей сертификации механизм защиты будет надежно защищать ?

Хотите эксперемент с Циско IPS поставим ? Вы отсертифицируете защиту от КОНКРЕТНОЙ атаки а мы потом покажем как эта атака пройдет через ваш сертифицированный сенсор. Не? :)


Anosov комментирует...

ZZuba:
Специально для этого я написал много текста и не стал сокращать, пользуйтесь! Стезя у всех разная)
Речь шла про ТУ и про то что там написано. И хороший специалист знает где и как его можно прочитать(ТУ) или уже знает, если строит систему защиты. А Вы о перевели на систему образования. Ниочем) считаюэтозабыть!
Алексей: согласен, что есть, но из статьи не понятно) один из мировых лидеров получил сертификат с проверкой на НДВ.
Внимание вопрос: на какой продукт у Вас имеется сертификат с проверкой на НДВ (и есть лицензия выше озвеченного органа по этому вопросу- разрешение)? Достаточно номера сертификата.
Скажу честно, реестра под рукой нет и вспомнить не смог!

mike комментирует...

Blogger Anosov пишет...

Внимание вопрос: на какой продукт у Вас имеется сертификат с проверкой на НДВ (и есть лицензия выше озвеченного органа по этому вопросу- разрешение)? Достаточно номера сертификата.

вопрос ко мне был? Интересуют именно эти сертификаты? :)

Алексей Лукацкий комментирует...

Anosov: мы работаем над получением нужных сертификатов. Наличие разрешения на экспорт из США еще не означает автоматического получения сертификатов в России

Евгений Родыгин комментирует...

2 mike:

- демагогия в том, что идет бла бла бла а документы скрываются. Почему скрываются совершенно ясно.

- я естественно никакие документы не опубликую и не передам, потому как у меня соглашения о неразглашении.

- соответственно вы перешли в позицию "а все так делают"...

- ваши попытки перейти на личности тоже уже не смущают. Видимо фактура закончилась.

mike комментирует...

Евгений Родыгин

2 mike:

- демагогия в том, что идет бла бла бла а документы скрываются. Почему скрываются совершенно ясно.


А я бы сказал наоборот. От вас есть бла бла бла. Говорите вы только про сертификацию в любых темах .... тема не имеет значение - сертификация и все. Ну да ладно.
В вашем блоге я уже отвечал - ТУ интересует на 99 процентов сотрудников других лабораторий .
Как правило - это мое мнение, чтобы получить рыбу документа ( про успешному продукту надо сказать) чтобы далее его использовать ..... Нет? Докажете?
Документация по нашим продуктам доступна партнерам и клиентам. Другим это и не интересно и если уж даю что то - но нужна цель?
Вы не клиент, не партнер. Значит может эксперт? Ну так докажите - покажите ваши документы я покажу свои .... :)

вполне справедливо, нет?
Вы мне свою рыбу а я свою :))

Евгений Родыгин комментирует...

Вот умора...
вам ГОСТ 2.144-95 показать?
Мне совсем не интересно как вы его оформили... Мне интересно на соответствие чему ваша подделка сертифицирована!
Вы говорите соответствует ТУ к тому же не Stonesoft а какого-то ООО!

Ну покажите ТУ! Может там написано одно требование о том что коробка должна быть зелёной и все! Может там ограничение написано что подделку вообще нельзя использовать в госорганах... Да что угодно!

mike комментирует...

Blogger Евгений Родыгин пишет...

"Мне совсем не интересно как вы его оформили... Мне интересно на соответствие чему ваша подделка сертифицирована!"

Ну вы Эксперта из себя строите ? Ну так покажите документы вами сделанные ?

Насчет подделки - не путайте со своими продуктами это вы видимо подделками занимаетесь, у нас продукт мирового уровня... Вам такое не создать. :)

Насчет Какого то ООО = ну не делайте тут круглые глаза. Это просто говорит что вы не понимаете как происходит у всех сертификация.
ООО в России официальный производитель Российской версии - и кстати настоящий с криптографами и другими разработчиками. Не знаете предмет изучите сначала.
Или откройте Реестр и подивитесь почему у всех вендоров заявители ну просто кто попало....


Евгений Родыгин комментирует...

Подделка это андроид шутит...конечно поделка.

Как что делается я извините знаю лучше ;)

Теперь к ТУ...По некоторым разделам ТУ вообще не содержит Никаких технических секретов! Одна реклама!

Аннотация - сплошная реклама !
Тех. Требования - расписывается что поделка делать может! Тут вендор изгаляется как может. Указывает все преимущества все качества все плюсы!
Методы кантроля - минимально достаточно или с косвенным показом преимуществ доказывает что заявленное в Тех.требованиях блестяще реализовано!
Условия применения - сплошь реклама применения поделки показывающая преимущества продукта!

Нормально адаптированный продукт! Ту на сайте подписанное и разработчиком и регулятором да ещё сертификат - красота! Потребитель открывает Ту и офигивает от того какой продукт!

А у вас что? Какие нафиг секреты? Вы что скрываете? Все секреты реализации в ПЗ но у вас их нету...

Не нужно лохматить бабушку :)))

Евгений Родыгин комментирует...

Михаил, насчёт моей квалификации прекращайте... Это далеко не по адресу...

mike комментирует...

Blogger Евгений Родыгин пишет...

Подделка это андроид шутит...конечно поделка.

Еще раз - поделки видимо вы делаете ... :) не судите по себе.

"А у вас что? Какие нафиг секреты? Вы что скрываете? Все секреты реализации в ПЗ но у вас их нету...

Не нужно лохматить бабушку :)))"


да нет у нас никаких секретов, поэтому и предлагаю - давайте свою - я дам свою ? в чем вопрос?


Евгений Родыгин пишет...

"Михаил, насчёт моей квалификации прекращайте... Это далеко не по адресу..."


Евгений а вы не прикидывайтесь и не играйте на публику ( фразы про ООО и прочее ) - вы сами сказали что прекрасно все знаете - так не прикидывайтесь что для вас есть неизведанные тайны и не будет вопросов к квалификации.

Евгений Родыгин комментирует...

Михаил! Помните фразу в кино: "дяденька, вы что дурак?.."
Я вам 5 раз пишу что соблюдаю соглашения о конфиденциальности!!!

Что за детский сад: покажи приписку а я тебе свою покажу...
Повторять чтоли посты по 2 раза?

Вы заявили соответствие ТУ!
Покажите ТУ - может у вас подделка по ТУ должна быть зелёной и все! Да я угадал?

Алексей Лукацкий комментирует...

Помнится был сканер безопасности, у которого в ТУ был просто перечислен список проводимых им проверок. И проверялост только то, что сканер может сканировать.

mike комментирует...

Blogger Евгений Родыгин пишет...

Михаил! Помните фразу в кино: "дяденька, вы что дурак?.."
Я вам 5 раз пишу что соблюдаю соглашения о конфиденциальности!!!

Ну тоесть вам нечего показать то ?
может вы вообще ничего никогда не сертифицировали?
Я просто хочу посмотреть на результаты вашей работы - ну где еще увидеть крутого профи ? посмотреть как он виражи выделывает ? вы много тут круто говорите - но ничего кроме этого....

Говорите что ни у кого нет секрета а вдруг конфиденциальность .....
вы лицемерите? Или всетаки у других это секрет?

"Покажите ТУ - может у вас подделка по ТУ должна быть зелёной и все! Да я угадал?" - ну да - а сейчас же желеный в моде, разве не знаете еще ? елки палки, вот ведь надо так опростоволоситься .... :)

Во ФСТЭК сейчас только зеленые сертифицируют. Правда. :)

Короче ищите свой труд ( если есть конечно :)) и публикуйте - ну мы все уже хотим посмотреть на НАСТОЯЩЕЕ ТУ а не какое то там зеленое ....



mike комментирует...

Blogger Алексей Лукацкий пишет...

" Помнится был сканер безопасности, у которого в ТУ был просто перечислен список проводимых им проверок. И проверялост только то, что сканер может сканировать."

ну так сертификация процесс ( по идее) строго типизированный и в принципе так и должно было быть везде. В прочем не вижу ничего плохого . Иначе сертификацию можно никогда не закончить, затачивая формулировки до самозабвения....

Евгений Родыгин комментирует...

Михаил... Я уже сомневаюсь в адекватности...

6 раз: я не нарушаю соглашений о конфиденциальности... Прочитайте по буквам! Если не получается то не мне а вам к доктору...

4 раз: если вы заявили соответствие ТУ но ТУ скрываете это говорит о том что там лажа! Прочитайте по буквам! Для нормальных компаний ТУ является дополнительным бонусом но не для вас !

Так что, вы ваше ТУ боитесь засветить? Что там страшного? Что народ увидит и что станет причиной отзыва аттестатов аккредитации и аттестации ОИ?.. Этого боитесь?

А вообще хоть на один вопрос можно получить внятный ответ?

Вопрос на 2 копейки. Кто является разработчиком сертифицированной продукции Stonesoft? Stonesoft или то самое ООО?

Алексей Лукацкий комментирует...

Миша, ты не понял. В том случае в ТУ был просто список имен файлов, содержащих проверки. А сертификация заключалась в проверке наличия этого списка файлов. Больше ничего не проверялось. Зато сертификат был

mike комментирует...

Blogger Алексей Лукацкий пишет...

" Миша, ты не понял..... "
Не ну до такого мне видимо никогда не додуматься ....
Я кажется припоминаю сканнер :)

Blogger Евгений Родыгин пишет...

"Так что, вы ваше ТУ боитесь засветить? .... что станет причиной отзыва аттестатов аккредитации и аттестации ОИ?.. Этого боитесь?"

Поржал. Как сейчас представил Сенькина читающего этот бред :)

ВО разошелся то :)
Евгений вы определитесь а то совсем заврались. В своем блоге http://kaskadsecurity.blogspot.ru/2013/04/blog-post_26.html?showComment=1368730303922#c6697215188575825605
вы сказали что у вас материалы есть а значит ТУ есть, схемы сертификации мои знаете и вообще все знаете. Тут все пытаетесь мою рыбу получить, неужели не получается самому куда то ТУ написать? :))
Ну вы как то уже одинаково себя ведите чтоли?
Если есть ТУ - и думаете что я боюсь вперед - во фстек с жалобами и прочим .... Сделайте все чтобы отобрали лицензии и сертификаты. Мне даже интересно будет на это посмотреть.

В общем с вами все ясно. Занимайтесь лучше побольше делом и просто не умничайте слишком много.
:)
Да еще - выучите чтонибудь еще кроме сертификации ! Поможет в жизни. :)

Евгений Родыгин комментирует...

Михаил:
1 - врете именно вы потому что нет у вас лицензий и сертификатов! Есть у подставной конторы!
2 - материалы у меня есть, но мне нужно чтобы их слили именно ВЫ в этом смысл. Чтобы вы не ныли что это не ваши...
3 - а то, как были сертифицированы поделки разработанные зарубежной конторой не имеющей соответствующих лицензий - это вы не Сенькину, это вы прокурору будете рассказывать ;)
4 - ТУ на конкретное изделие Сертификат 2157 (ТУ 4012-001-89625543-09) а не какую то рыбу нужно опубликовать народу о котором вы так печетесь а не мне...

Ваше постоянное выкручивание и вранье, непонимание предмета и нападки просто ошеломляют!
Вы не ответили ни на один вопрос, чем подтвердили все предположения о вашей деятельности.

Повторюсь:
В этой вашей истории меня смущает только одно: как так получается, что Директор по развитию вместо того чтобы обеспечивать хозяевам бизнеса безопасность, устойчивость бизнеса открыто организовывает серые схемы легализации продукции, подставляет под риски компанию которая его наняла. При этом участвует в схемах конкурсов достойных Начального и публично примазывает ФСТЭК и другие организации...
Неужели так оголодали... Неужели у компании нет ресурсов работать без перекладывания рисков на потребителя?! Вы же не просто дискредитируете компанию Stonesoft вы открыто говорите что вам серые схемы подходят лучше... Неужели тактическая выгода важнее стратегической для компании которой совсем скоро может не остаться!?

mike комментирует...

Blogger Евгений Родыгин пишет...

:))) называется уймите пьяного подростка..... Он все никак не уймется все требует сатисфакции....
уж обделались так отдыхайте называется... :)

"В этой вашей истории меня смущает только одно:"

Евгений откройте глаза уже .... :)

Стоунсофт развивается в России минимум в два раза быстрее ( по крайней мере пока) чем любой другой такой же вендор. С нуля, на переполненном рынке.
Ладно, я не доктор, надоело уже с товарищами имеющими огромный комплекс неполноценности демагогию разводить ....

Продолжайте блоггить и умничать, все уже все поняли.


mike комментирует...

"При этом участвует в схемах конкурсов достойных Начального и публично....." - это вообще про что ???? Уже белочка пришла ? да ? :)))

ну почему же Начального - берите Адвансед :)

Евгений Родыгин комментирует...

Михаил, пока вы не смогли опровергнуть ни одного моего утверждения!

НИОДНОГО! Вы можете называть их идиотскими, тупыми, некомпетентными, можете рыть что угодно на меня, оскорблять но опровергнуть не сможете НИОДНОГО!

mike комментирует...

При этом участвует в схемах конкурсов достойных Начального и публично....."


а я вот тут что должен опровергнуть по вашему мнению?

mike комментирует...

И вообще что я должен опровергнуть?

вы вот врали и это видно из двух блогов если их вместе читать.

Евгений Родыгин комментирует...

Михаил, вам как малышке сделать подборку вопросов и утверждений из предыдущих постов? Вы их не читаете или не понимаете?

Могу 2 раз повторить... у меня есть... хотя чего то я на вас время много трачу...

я думал человек серьезный, заранее продумывал... Готов на уровне высшего менеджмента серьезной компании серьезно отвести от себя все вопросы!

А вы решили поиграть в непонимающего идиота...
Мне с вами не интересно...

Хотя должен признаться и извиниться перед читателями за моделирование идиотизма.

При этом хочу закончить двумя моментами:
1 - уважаемые вендоры! Относитесь к легализации в РФ серьезно.
2 - уважаемые потребители! Имейте в виду, что такая легализация, может привести к тому, что заинтересованные лица, инициируя прокурорские проверки, уголовные дела и т.п. могут лишить продукцию таких вендоров сертификатов, приостановить или прекратить их деятельность в РФ, что поставит вас в щекотливое положение.

Если не верится, то сообщаю что пару лет назад такая ситуация была, вендор со всей своей продукцией был прикрыт. А все потому что организаторы серой схемы потеряли всякую меру...

Евгений Родыгин комментирует...

а вот такие специалисты как Михаил не могут защитить работодателя. Они только словоблудием сильны...

mike комментирует...

Евгений Родыгин пишет...

"При этом участвует в схемах конкурсов достойных Начального и публично...."

Евгений вы свой бред то прочитайте, вот выще что означает?????

или вот это:

"А все потому что организаторы серой схемы потеряли всякую меру..." - даю 100500 процентов - никто не понял о каких серых схемах вы сказали и при этом скажите чем отличается белая ????

"ожет привести к тому, что заинтересованные лица, инициируя прокурорские проверки, уголовные дела и т.п. могут лишить продукцию таких вендоров сертификатов, приостановить или прекратить их деятельность в РФ" - О Евгений уже угрожает !!!!!!

сначала неумело пытается продать свои услуги ( незаметно так :)) а потом еще и погрозил!!!! Маладца!

Евгений, начните плиз инициировать - я Вас прошу. Только вы и лично ок?
Заодно посмотрим у кого быстрее лицензия исчезнет или кого к доктору отправят.

Евгений Родыгин комментирует...

И чо? ;)

mike комментирует...

Евгений Родыгин пишет...

"Вы же не просто дискредитируете компанию Stonesoft вы открыто говорите что вам серые схемы подходят лучше... "

о как. Евгений а вы кстати не заболели? покажите плиз где я так сказал? КОнкретно покажите текст?

mike комментирует...

Blogger Евгений Родыгин пишет...

И чо? ;)

все .... :) Можно уже и без доктора.

ну вы хотябы бред про Начального разъясните а то уж всем тут интересно?

Евгений Родыгин комментирует...

И чо?

mike комментирует...

ну в общем мы все поняли.

Олег Карасев комментирует...

2mike:
"ТУ интересует на 99 процентов сотрудников других лабораторий ."

Я отношусь к, как Вы считаете, 1% (?) сотрудников не лабораторий. И выскажу свое мнение.
Однако Вы не правы. ТУ и формуляр меня интересуют в первую очередь после сертификата. Если вендор/заявитель их мне не дает или дает при условии партнерства и т.д., то такие трудности мне ни к чему, я найду другой продукт с нужными мне сертифицированными параметрами.

Максим Кирюшов комментирует...

У меня возник один идиотский вопрос:
Как проводится испытания НДВ4, в части контроля соответствия исходников - загрузочным файлам, ежели при каждой повторной компиляции, подавляющим большинством компиляторов, меняется и сам исполняемый файл и его контрольная сумма? Соответственно, испытательная лаборатория никогда не получит такого же Exe-шника, какой был предоставлен на испытания!

Евгений Родыгин комментирует...

2 Максим
Используются два основных метода:
1 - проводится контрольная сборка и полученный результат закладывается в архив.
2 - проводится множество сборок с разными параметрами времени сборки даты и т.п. Полученные результаты анализируются на предмет изменений.

Ну еще бывает экзотика с промежуточными объектными файлами...

Maxim Kirushov комментирует...

Евгений, а не могли бы вы поподробнее описать каждый из двух методов, а то не вполне понятно.
1. Закладывается в архив? Для чего?
2. Чем поможет многократная сборка? Понять, что этот exe-файл - получается из этих исходников? Это вроде и после одного раза ясно. Собрали, HEX-редактором сравнили... Меня скорее интересует формальная сторона. Ведь в РД НДВ четко указано, что при проверке на соответствие, должны совпадать контрольные суммы полученных в результате сборки файлов. Или в методике (программе) испытаний, делается пометка о невозможности подобной проверки?
PS: Про третий метод, не поверите, но и объектники *.Dcu меняются при каждой новой сборке. Компилятор Borland пишет туда Guid сборки.

Евгений Родыгин комментирует...

2 Максим
Подробнее - извините, сфера интересов...
Про "объектники" борланда что делфи, что другие - да больше всего проблем с ними...