tag:blogger.com,1999:blog-4065770693499115314.post109643772274622823..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: И вновь об оценке соответствия средств защитыАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger33125tag:blogger.com,1999:blog-4065770693499115314.post-65393437294201647942012-01-23T15:52:35.802+04:002012-01-23T15:52:35.802+04:00Для СВТ в самом РД см. выше цитату.
См. требовани...Для СВТ в самом РД см. выше цитату.<br /><br />См. требования для 5 класса - не пишут они как должно быть реализовано... пишут что...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-68520392011321571902012-01-23T15:48:23.987+04:002012-01-23T15:48:23.987+04:00Ну а ниже-то - как раз речь о том, что показатели ...Ну а ниже-то - как раз речь о том, что показатели - это наборы требований, а требования должны реализовываться программно-техническими средствами, которые составляют комплекс средств защиты СВТ... <br />Т.е. эти требования именно что к механизмам (как еще трактовать "программно-технические"?).<br /><br />Тут, кстати, всплывает параллельно проблема нечеткой терминологической базы. Для того же СВТ я просто не смог в свое время найти однозначного определения.doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25358084478922928102012-01-23T15:45:11.042+04:002012-01-23T15:45:11.042+04:00"Настоящий Руководящий документ устанавливает..."Настоящий Руководящий документ устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.<br />Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7278075018344348762012-01-23T15:36:01.750+04:002012-01-23T15:36:01.750+04:00не согласитесь с чем ?не согласитесь с чем ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-3087278247399857542012-01-23T15:21:02.863+04:002012-01-23T15:21:02.863+04:002 Евгений Родыгин
Не соглашусь. Четко написано:
...2 Евгений Родыгин<br />Не соглашусь. Четко написано:<br /><i><br /> 1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).<br /> Конкретные перечни показателей определяют классы защищенности СВТ.<br /> Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.<br /> <b>Каждый показатель описывается совокупностью требований.</b><br /> Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.<br /> <b>1.3. Требования к показателям реализуются с помощью программно-технических средств.</b><br /> Совокупность всех средств защиты составляет комплекс средств защиты.<br /></i><br /><br />Ну а про Общие критерии - куда их ввели? :) <br />Где упоминание о них в том же 58-м приказе например? <br />Тема была классная, развивалась достаточно активно, а потом все свернулось. Даже S-terra перестала сертифицироваться по ОК, потому что толку от этого ноль - везде надо 1Г, К1 и прочие классификации ортогональные общим критериям...doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64315692802951770412012-01-23T15:00:54.469+04:002012-01-23T15:00:54.469+04:002 doom
Да я не против... Просто у нас много "...2 doom<br />Да я не против... Просто у нас много "экспертов" воспринимают эти требования как требования к механизмам. А они по сути на более высоком уровне абстракции и не предъявляют требования по реализации.<br />Они интерпритируемы. <br />Для замены требований в 2002 введены общие критерии - пользуемся ?!<br />Но при этом можно натянуть РД СВТ на любое изделие ;)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28595624906118779332012-01-23T14:44:24.313+04:002012-01-23T14:44:24.313+04:002 Евгений Родыгин
Своеобразная постановка вопроса ...2 Евгений Родыгин<br />Своеобразная постановка вопроса про РД ФСТЭК... <br />Они устарели хотя бы потому, что предъявляют <i>функциональные</i> требования к <i>отдельным СВТ</i> - когда в 90-ые ГТК эти документы "писала", то во всем мире уже поняли порочность такого подхода - системы слишком разные, контекст игнорировать нельзя, предположения среды и актуальные угрозы игнорировать нельзя и т.п.<br /><br />И я уж молчу о том, что в документах есть куча явных ошибок (в том числе пунктуационных!), которые за 20 лет никто и исправить-то не удосужился...doomhttps://www.blogger.com/profile/18335912353525023314noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85145939893512055232012-01-20T15:57:56.868+04:002012-01-20T15:57:56.868+04:00Канефна ;)Канефна ;)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-83351042586735443822012-01-20T15:53:27.570+04:002012-01-20T15:53:27.570+04:00Именно поэтому нужно официально спрашивать и получ...Именно поэтому нужно официально спрашивать и получать официальные ответы.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-47472107396108908362012-01-20T15:49:36.360+04:002012-01-20T15:49:36.360+04:00В последнее время лицензиатам сложно обосновать ту...В последнее время лицензиатам сложно обосновать ту или иную позицию юридической службе Заказчика...<br />Фразы типа "сложилась такая практика" или "это мнение Регулятора" уже не катят... и в этом есть существенная проблема...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-32935833764491606762012-01-20T15:17:36.447+04:002012-01-20T15:17:36.447+04:00Ну вот примерно такие же объяснения были у ФСТЭК н...Ну вот примерно такие же объяснения были у ФСТЭК на всех совещаниях по персданным. Типа все же нормально и все решаемо. Вот наши лицензиаты - они помогут вам все решить.<br /><br />Вопросов к тебе больше не имею.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-50787465696627931772012-01-20T14:51:39.576+04:002012-01-20T14:51:39.576+04:00Да... если совсем нетерпится - применяй ОК с обосн...Да... если совсем нетерпится - применяй ОК с обоснованием в ЗБ отсутствие дискретки... какие проблемы ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15614878565472274892012-01-20T14:44:11.932+04:002012-01-20T14:44:11.932+04:001. ну мы недозрели вступать причин может быть мног...1. ну мы недозрели вступать причин может быть многа ;) но я поржу если в белый дом поставят стража сертифицированного по ОК ФСТЭК даже если ратифицируем... они же не ратифицируют :))<br /><br />2. (сорри уже вижу что хочу видеть :) ) <br /><br />дык как правило есть админ и юзер... ну да бог с ним 1 юзер...<br />что если 1 юзер уже не дискретка? Просто права полные...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-75473083746773884302012-01-20T14:25:42.072+04:002012-01-20T14:25:42.072+04:001. Так проблема не в США, а в том, что Россия отка...1. Так проблема не в США, а в том, что Россия отказалась ратифицировать ОК и вступать в список стран, которые признают сертификаты друг друга.<br /><br />3. Не дискета, а дискретка.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-60827404959012585922012-01-20T14:23:44.934+04:002012-01-20T14:23:44.934+04:001. США признает сертификаты выданные ФСТЭК по ОК ?...1. США признает сертификаты выданные ФСТЭК по ОК ?<br /><br />2. Все документы базируются на чем то предыдущем ;)<br /><br />3. Про дискету - плиз ссылку на НМД или РД ?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-13727387275209213292012-01-20T14:04:02.550+04:002012-01-20T14:04:02.550+04:00Отвечаю:
1. Общие критерии меня устраивают. Меня н...Отвечаю:<br />1. Общие критерии меня устраивают. Меня не устраивает, что Россия не признает сертифкаты по Общим критериям, выданным в других странах, и требует повторной сертификации тут, у себя. При этом сертифицируется не наименование изделия, а конкретные экземпляры.<br /><br />2. Другие доки "не 20-тилетней давности" базируются на подходах 20-тилетней давности для ГТ.<br /><br />3. Теперь по поводу iPad. Мне насрать, что думает там себе ФСТЭК. Я владелец системы и я сам принимаю риск того, что Джобс с Возняком заинтересуются моей конфой (к слову сказать, я в это верю меньше, чем в то, что моей конфой для своих задач заинтересуются ФСТЭК и ФСБ). И мне достаточно того, что у меня будет 10-тисимвольный пароль на вход в iPad. Но ФСТЭК почему-то от меня требует дискретку на любом устройстве, обрабатывающем конфу, даже на однопользовательском. С какого перепугу?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1962598549643540262012-01-20T13:32:44.234+04:002012-01-20T13:32:44.234+04:00Ага... САМ ЛУКАЦКИЙ не может сформулировать и обос...Ага... САМ ЛУКАЦКИЙ не может сформулировать и обосновать недостатки о которых трубит блогосфера... ;)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24197147373793533232012-01-20T12:13:39.420+04:002012-01-20T12:13:39.420+04:00И потом выбрал устройство на которое ребята из куп...И потом выбрал устройство на которое ребята из купертино могут поставить или снести любое приложение с рутовыми правами... <br />Мысль о защищенности таких поделок и обработке конфы странна... система закрытая и т.п.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73381096912837052062012-01-20T12:13:39.264+04:002012-01-20T12:13:39.264+04:00И потом выбрал устройство на которое ребята из куп...И потом выбрал устройство на которое ребята из купертино могут поставить или снести любое приложение с рутовыми правами... <br />Мысль о защищенности таких поделок и обработке конфы странна... система закрытая и т.п.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-11145912957377322452012-01-20T11:59:53.229+04:002012-01-20T11:59:53.229+04:00Если в ipad2 нет таких механизмов то разграничение...Если в ipad2 нет таких механизмов то разграничение доступа не реализовать !Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-53794960233785228452012-01-20T11:58:42.019+04:002012-01-20T11:58:42.019+04:00Ура !!!
Отвечаю как выполнить требование!!!
1 - ре...Ура !!!<br />Отвечаю как выполнить требование!!!<br />1 - реализовать в ipad 2 дискреционный механизм. Разработчику необходимо видимо программно внести в изделие механизм, который это будет выполнять!<br /><br />Если в изделии нет механизмов реализующих это, то в чем проблема - пусть реализовывают !!!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-19856003279501889952012-01-20T11:55:28.442+04:002012-01-20T11:55:28.442+04:001 - подход к сертификации (ну чем тебя общие крите...1 - подход к сертификации (ну чем тебя общие критерии не устраивают например ?)<br />2 - другие доки уже не 20ти летней давности...<br />3 - а я не про буквы русского языка - я про требования/нормы... РД СВТ которому как раз 20 лет... <br /><br />Похоже конкретных претензий нет ?<br />На дворе 12 год, но указанные мной требования вполне хороши и они не устанавливают требования к конкретным механизмам и реализации - тут полная свобода разработчика...<br /><br />Я не против претензий!!! - Надоела демагогия - есть конкретная претензия - сформулируй, ткни носом в строчку, обоснуй что не так и предложи как надо !!!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-65512842381785407472012-01-20T11:51:47.804+04:002012-01-20T11:51:47.804+04:00И, кстати, хочешь претензий?.. Я тебе дам. Даже к ...И, кстати, хочешь претензий?.. Я тебе дам. Даже к 6-му классу. Берем обычный планшетный компьютер iPad2, обрабатывающий конфиденциальную информацию.<br /><br />Как для этого устройства выполнить самое первое требование для 6-го класса СВТ - Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-15264012330434536382012-01-20T11:49:44.770+04:002012-01-20T11:49:44.770+04:00Евгению Родыгину: Ты бы еще спросил, что меня не у...<b>Евгению Родыгину:</b> Ты бы еще спросил, что меня не устраивает в слове "защита" ;-)<br /><br />Претензий к буквам русского языка из которых составлен РД по СВТ у меня, кстати, нет.<br /><br />ЗЫ. В 92-м году у меня претензий к РД по СВТ тоже не было. Но сейчас на дворе 2012-й.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-21595234906779722312012-01-20T11:44:30.686+04:002012-01-20T11:44:30.686+04:00Меня не устраивает:
1. Подход к сертификации
2. По...Меня не устраивает:<br />1. Подход к сертификации<br />2. Подход к лицензированию<br />3. Подход к аттестации.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.com