tag:blogger.com,1999:blog-4065770693499115314.post4450176355513066966..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: А я опять про 8-й Центр ФСБ :-)Алексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-4065770693499115314.post-89675723789211356172014-04-16T19:43:39.892+04:002014-04-16T19:43:39.892+04:00pushkinist: Если кто-нибудь из вендоров хотя бы до...pushkinist: Если кто-нибудь из вендоров хотя бы донесет до регулятора потенциальный риск отказа от применения СКЗИ со стороны заказчиков, то уже будет неплохо. Хотя регулятор смотрит блог и думаю уже сам все прочитал :-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-21712981066569600112014-04-16T14:43:42.778+04:002014-04-16T14:43:42.778+04:00Занятно. Где мы, а где ФСБ, но IT директор порадуе...Занятно. Где мы, а где ФСБ, но IT директор порадуется :)SKhttps://www.blogger.com/profile/13604104961908411894noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-5287916123760213952014-04-16T12:33:50.801+04:002014-04-16T12:33:50.801+04:00ну вендоры задумаются не благодаря акцентированном...ну вендоры задумаются не благодаря акцентированному здесь моменту, а при подаче очередного своего скзи на сертификацию. акцентированный здесь момент это отнюдь не первое и не последнее "невыполнимое" требование хоть ведомственных доков фсб, хоть законодательства рф.pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10698009373499422902014-04-15T22:27:09.033+04:002014-04-15T22:27:09.033+04:00Алексей, как причем?
Да, среда функционирования - ...Алексей, как причем?<br />Да, среда функционирования - Linux. <br />Да, между конструкторской документации на программные компоненты среды функционирования и исходным кодом можно поставить равенство. Но.<br />Оператор, выбирая СКЗИ на базе Linux будет, конечно, сомневаться, что это же open source, все исходники доступны. Тогда на сцену выходить производитель НаташаЛинукс и говорит, что у него всё секурно и уникально, что даже ядро пересобрали полностью или ещё что-нибудь. Даже бумажку какую-нибудь подготовит. Тогда оператор спокойно исключает наличие этой возможности и нарушителя и обходится продуктами более низкого класса. Формальности соблюдены, и все довольны: оператор покупает, вендор продаёт.<br />Да, момент скользкий: проверяющему это всё надо будет доказать. Но, благодаря акцентированному вами моменту, вендоры задумаются о таких бумажках-подтверждениях.<br />Хотя реальной безопасности здесь нет, как не печально, только игры с формулировками. Oleg Boykohttps://www.blogger.com/profile/15604546029596164663noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71858291054158291832014-04-15T21:48:46.394+04:002014-04-15T21:48:46.394+04:00Если linux не тивопой (Своих Фениксов, АстраЛинукс...<i>Если linux не тивопой (Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов) то сразу не отпадает так как исходники другие</i><br /><br />Да... и на heartdleed патчить не надо, все свое, все родное. <br />Нарушители H6 с позором разбегаются. :-)Roman Shttps://www.blogger.com/profile/13424224501197559617noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-2250172875116976322014-04-15T17:56:39.428+04:002014-04-15T17:56:39.428+04:00Так и смотри на абзац про программные компоненты :...Так и смотри на абзац про программные компоненты :-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-86496106942579951602014-04-15T17:49:00.388+04:002014-04-15T17:49:00.388+04:00У меня этой 43-ей редакции нет.
Располагаю опубли...У меня этой 43-ей редакции нет.<br /><br />Располагаю опубликованной ранее версией http://regulation.gov.ru/get.php?view_id=3&doc_id=17798<br /><br />и приведенной тобой цитатой<br />"СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования"Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23553870716548097832014-04-15T17:18:28.079+04:002014-04-15T17:18:28.079+04:00Сергей, ты читаешь проект приказа? Доступ к програ...Сергей, ты читаешь проект приказа? Доступ к программным компонентам среды функционирования!Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-92122707010770948472014-04-15T17:15:50.289+04:002014-04-15T17:15:50.289+04:00не к исходникам, а к конструкторской документации....не к исходникам, а к конструкторской документации.<br /><br />В модели нарушителя будем ещё учитывать средства атак и каналы атак. <br />+<br />Если linux не тивопой (Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов) то сразу не отпадает так как исходники другие<br />+<br />Даже если линукс типовой всё равно можно аргументировать частным набором модулей, частными настройками, которые есть только в закрытой конструкторской (проектной ) документации <br /><br />и всё будет ок<br /><br /><br /><br /><br /><br /><br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-45367323420021916722014-04-15T16:55:50.448+04:002014-04-15T16:55:50.448+04:00Причем тут разработчики вообще? В приказе говоритс...Причем тут разработчики вообще? В приказе говорится о доступе к исходникам среды функционирования. А он у всех Linux. Обычный. Доступный в исходниках.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70074848712258124952014-04-15T15:49:24.186+04:002014-04-15T15:49:24.186+04:00конечно, проблема какая-то надуманная. через докум...конечно, проблема какая-то надуманная. через документацию можно все решить.pushkinisthttps://www.blogger.com/profile/12741340648681850497noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-45709476225357251422014-04-15T15:40:46.027+04:002014-04-15T15:40:46.027+04:00Алексей, на месте лицензиатов я бы сказал: "Н...Алексей, на месте лицензиатов я бы сказал: "Наш продукт настолько уникальный, и мы переработали код настолько сильно, что ничего общего с open source кодами в нём не осталось. И задокументировли это в конструкторской документации на ПО. А вам документацию не дадим, это ноу-хау."Oleg Boykohttps://www.blogger.com/profile/15604546029596164663noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-41183384995959178052014-04-15T15:38:37.263+04:002014-04-15T15:38:37.263+04:00Инициатива-то хорошая, но отсутствие в ней оговорк...Инициатива-то хорошая, но отсутствие в ней оговорки про гостану - это плохо. Завернут, ФСБ гостайну не отдаст.tomatohttps://www.blogger.com/profile/14419154040456966941noreply@blogger.com