Размышления о государственной сертификации антивирусов

    С каждым годом от IT-специалистов наши доблестные регуляторы (ФСБ и ФСТЭК в первую очередь) требуют все больше различного рода лицензий, разрешений, сертификатов и тому подобных бумажек. ФСБ навязывает использования своих «фирменных» алгоритмов шифрования, взамен малопонятных им общемировых. ФСТЭК норовит сунуть нос поглубже в код программных продуктов, в своих поисках недекларированных возможностей, «заботясь» о безопасности нашей с вами информации.
    А есть ли вообще смысл в подобных исследованиях применительно к современным антивирусам?

    Для дома можно использовать любые антивирусы, а вот для госструктур или для защиты персональных данных в информационных системах персональных данных (ИСПДн) придется выбирать продукт, прошедший соответствующую сертификацию.

    Законодательство


    Так, согласно постановлению Правительства РФ №781 от 17.11.2007, средства защиты информации, применяемые в ИСПДн, в установленном порядке обязаны пройти процедуру оценки соответствия (установленным требованиям, которые прописаны в руководящих документах ФСТЭК). В частности, использование только сертифицированных решений для госучреждений прописано в таких документах, как Указы Президента РФ от 17 марта 2008г. №351 «О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена» и от 12 мая 2004г. №611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена».

    Программное обеспечение проверяется на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

    Ключевым моментом данного РД является вот такая табличка:

    Требования к уровню контроля. Перечень требований.

    Наименование требования Уровень
    контроля
    4 3 2 1
    Требования к документации
    1 Контроль состава и содержания документации
    1.1. Спецификация (ГОСТ 19.202-78) + = = =
    1.2. Описание программы (ГОСТ 19.402-78) + = = =
    1.3. Описание применения (ГОСТ 19.502-78) + = = =
    1.4. Пояснительная записка (ГОСТ 19.404-79) - + = =
    1.5. Тексты программ, входящих в состав ПО (ГОСТ 19.401-78) + = = =
    Требования к содержанию испытаний
    2. Контроль исходного состояния ПО + = = =
    3. Статический анализ исходных текстов программ
    3.1. Контроль полноты и отсутствия избыточности исходных текстов + + + =
    3.2. Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду + = = +
    3.3. Контроль связей функциональных объектов по управлению - + = =
    3.4. Контроль связей функциональных объектов по информации - + = =
    3.5. Контроль информационных объектов - + = =
    3.6. Контроль наличия заданных конструкций в исходных текстах - - + +
    3.7. Формирование перечня маршрутов выполнения функциональных объектов - + + =
    3.8. Анализ критических маршрутов выполнения функциональных объектов - - + =
    3.9. Анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т. п., построенных по исходным текстам контролируемого ПО - - + =
    4. Динамический анализ исходных текстов программ
    4.1. Контроль выполнения функциональных объектов - + + =
    4.2. Сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа - + + =
    5. Отчетность + + + +
    Обозначения
    "-" — нет требований к данному уровню;
    "+" — новые или дополнительные требования;
    "=" — требования совпадают с требованиями предыдущего уровня.

    Согласно п.3 «Контроль исходного состояния ПО» перечня требований
    • Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.
    • Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.
    • Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.
    Ага, отлично, контрольные суммы всех файлов программы должны зафиксированы в документации. Такое бы прокатило для прошивки криптомаршрутизатора (в общем там так и делается), но уж никак не для антивируса! Даже если не будем брать во внимание непосредственно программные модули, то базы сигнатур (между прочим, «входящие в состав ПО») обновляются фактически ежечасно. О каком контроле состояния ПО может идти речь?

    На данный момент, ФСТЭК сертифицированы продукты нескольких антивирусных компаний:
    • ESET (4 уровень отсутствия НДВ);
    • Dr.Web (2 и 3 уровень);
    • Лаборатория Касперского (3 уровень);
    • VBA32 (4 уровень).

    Например


    Для примера возьмем Антивирус Касперского (просто пример), они очень гордятся своими сертификатами ФСТЭК, не упуская случая козырнуть ими перед клиентами.

    Сертификат соответствия (№1384) на «программное изделие „Антивирус Касперского 6.0 для Windows Workstations“ выдан еще в 2007 году, потом продлен до 2013, за это время ЛК выпустила 4(!) больших обновления (MP) для него, а сертификат тот же! Это значит, что никто не проверял продукт, только потому, что не сменилась циферка мажорной версии… И это уже не говоря о ежедневном обновлении баз сигнатур.



    В сертификате нет контрольных сумм. Логично, а зачем они? При первом же обновлении большая часть файлов просто изменится. Конечно, данная бумаженция отлично прикрывает пятые точки начальников IT-отделов, но неужели те, кто выдает такие вещи не понимают всей бредовости ситуации..?



    А вот тут, в сертификате соответствия от ФСБ, они есть, но какой же в них смысл? Лишь проверить дистрибутив перед установкой.

    И что же в итоге?


    У Вас есть куча бумажек на средство защиты, но:

     1. Вам никто не гарантирует отсутствие случайных (якобы) ошибок в коде, в том числе и критических, которые могут быть использованы для полной компрометации системы. По опыту использования того же Антивируса Касперского 6.0, могу сказать, что ошибок оставшихся после всех сертификаций просто громадное количество (ну, у других продуктов по-меньше:). А реально ли доказать, например, умышленность оставленной дыры типа „Buffer Overflow“? Едва ли…

     2. Благодаря продвинутым системам обновления и лечения новых угроз, практический любой современный антивирус может выполнять произвольные действия (т.н. скрипты лечения) по комманде из центра обновления. Что мешает отдать комманду найти на компьютере определенные файлы, закарантинить их, и потом, в полном соответствии со всеми пользовательскими соглашиями, передать их „на исследование аналитикам вирусной лаборатории“? А что такого? Ну бывает, мы посчитали эти файлы вредоносными и, заботясь о Вашей безопастности, провели их анализ. Исключительно ради Вашего блага! Спите спокойно, в Ваших секретных документах вредоносных макросов не обнаружено, а тому аналитику мы выкололи глаза и отрезали язык ;)

    Выводы


    Существующие методики контроля отсутствия недекларированных возможностей в таких программных продуктах как средства защиты информации от динамичных угроз безнадежно устарели и не могут гарантировать вообще ничего. Да и вообще, возможность надежно держать в узде такого рода системы представляется сомнительной.
    Сертификат спасет вас только от проверки регуляторов, но никак не от каких-либо угроз. Ну, это вполне логично для нашей страны, к сожалению...p class=
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 64

      +14
      Насколько я знаю, все немного не так.
      Сертификат ФСТЭК выдается на конкретную версию ПО с конкретной контрольной суммой. То есть все, что пишут про ФСТЭК сертификацию в рекламах — это здорово, но если вы захотите купить проверенный софт — вас отведут в сторонку и тихо предложат цену на 10-15-100 тысяч дороже «непроверенной» версии.
      Суть в чем. После прохождения проверки производитель софта печатает диски с этой конкретной версией программы. Эти диски отправляются в ФСТЭК. Там они проверяются на совпадение контрольных сумм. КАЖДЫЙ диск. Затем на каждый проверенный диск ставится ПЕЧАТЬ ФСТЭК. Ставить софт можно только с этого диска с печатью, и разумеется никаких апдейтов. Иначе вы не пройдете сертификацию, скажем, на закон о персональных данных.
      Оценили маразм процедуры, да? Особенно в случае с антивирусом.
      Бюрократы в очередной раз победили разум.
        +4
        изменения, вносимые в сам антивирус периодически проходят инспекционный контроль и вносятся в сертифицированный дистрибутив. При этом сертификат остаётся тем же. Обновления в плане антивирусных баз на антивирусах есть.
          +4
          Насколько знаю я, при проверке ИСПДн ФСТЭКом просто предъявляться сертификат на антивирус и вам ставится галочка в соответствующей графе…
            +2
            это зависит от того, как сертифицировался софт — отдельный экземпляр (серия) или производство. Если второе, то можно самому размножать диски (однако никаких апдейтов и изменений — контрольные суммы фиксируются при сертификации)
              0
              Насколько я в курсе — сертификат выдается на «экземпляр», а не на версию ПО. Т.е. есть дистрибутив, который передают на сертификацию, и с которого потом снимают копии. И если 1 байт в документации поменялся, то это уже не тот «экземпляр».
              +3
              Я так погалаю, государство заботит не качество антивируса, но немного другие вещи.

              Представьте себе, что вы владелец компании А. Компания Б предлагает поставить на ваши компьютеры оч.полезную программу (правда полезную), но при этом компания Б — ваш прямой конкурент вплоть до наезда братков.

              Вы согласитесь? Я так думаю, что даже контрольных сумм и печатей на дисках вам покажется мало.

              Немного не из той области пример, но, как мне кажется, в тему. В Ванкувере есть такая софтовая компания MDA, занимается в том числе и военными контрактами. Частная фирма, но выполняет требования государства.

              Так вот, там есть контракты на которых берут не всех программистов, а только удовлетворяющих некоторым критериям. Требования в зависимости от контракта могут быть (по возрастанию секретности):
              1. Имеет право работать в Канаде.
              2. Постоянный житель Канады (типа гринкарты).
              3. Гражданин Канады.
              4. Гражданин Канады, который родился не в «опасной» стране (северокорейцам или белорусам до свидания).
              5. Гражданин Канады, который родился в стране НАТО.
              6. Гражданин Канады, который родился в Канаде (т.е. не иммигрант).
              7. Гражданин Канады, родители которого (оба!!) и он сам родились в Канаде.

              Это я к тому, как подходят к секретности не в самой милитаристской стране мира.
                0
                Для чего вам ставить программу компании Б, если вы разрабатываете такие же программы?
                  0
                  Ну, например, компания А создает продукт Х, а компания Б создает продукты Х и Й. Продукты Х у обеих компаний конкурируют, но компания А не хочет создавать продукт Й, а хочет сконцентрироваться только на Х, т.к., например, он обладает большим функционалом и работает лучше. Поэтому и может возникнуть описанная ситуация.
                  +2
                  Напоминает отбор в SS… Арийская родословная до 7-го колена…
                    0
                    Ну что ж вы такое говорите! Это же демократическое государство. А правила американские, а штаты — самое демократическое государство из самых демократических.

                    Вот, кстати, как пример из объяв из софтового филиала Боинга:

                    This particular project requires AeroInfo to hire individuals who meet the following citizenship/place of birth requirements. In order to be eligible for participation in this project you must be:

                    a United States Citizen (with eligibility to work in Canada)
                    OR
                    a Canadian citizen/permanent resident who was not born in or have citizenship from one of the following countries: Afghanistan, Belarus, China, Côte d'Ivoire, Cuba, Democratic People's Republic of Korea, Democratic Republic of the Congo, Eritrea, Haiti, Hong Kong, Iran, Iraq, Lebanon, Liberia, Libya, Myanmar, Russia, Sierra Leone, Somalia, Sri Lanka, Sudan, Syria, Ukraine, Venezuela, Vietnam, Yemen, and Zimbabwe.


                      0
                      PayPal не любит примерно тот же список стран.
                        0
                        В финансах не копенгаген, не знаю, что они там думают.

                        В России, я слышал, пейпал открывается скоро. По крайней мере разговаривают об этом.
                        0
                        Ну я еще понимаю насчет Медвепутии и «последней европейской диктатуры», но чем им так Незалежная-то не угодила? Вот уж где настоящая демократия, их вроде даже в ВТО взяли.
                          0
                          Зато Румыния, Албания, Косово — велкам.

                          Украина в подвешенном состоянии, куда она качнется, непонятно, так что воизбежании.

                          Вот как обидно программистам из Афганистана, Гаити, Эритреи, Сомали, Судана, Зимбабве!

                          Кстати, даже при наличии канадского гражданства (даже если оно у тебя единственное) если ты родился в Иране (даже 55 лет назад, когда иранский слон был лучшим другом американского слона, и вывезен оттуда в пять лет) то при поездке в штаты тебе скорее всего потребуется виза. Есть исключения, если ты, например не мусульманин, а беженец-бахайя, но в общем случае нужна виза, которую непросто получить.

                            0
                            Кстати, допустим, я русский с русским гражданством, но родился в семье военного еще в СССР в Риге — я белый человек. Смешно.
                        0
                        И при всём при этом перидически то ноутбук со всеми секретными данными продадут, потому что он старый и противный, то на работе в порновидеочате секреты выбалтывают, то ещё что.
                        Все эти правила они ни о чём, на работу надо брать идейных и неважно где они родились.
                          0
                          — Все эти правила они ни о чём, на работу надо брать идейных и неважно где они родились.
                          Понятие идейности сложно определить и сложно вынести рещшение о соответствии. А это государство, должна быть простая и понятная клерку инструкция.

                          Хотя и на идеологию не забивают, в Канаде не так все жестко, а в штатах при получении гражданства человек должен произнести вот это:

                          «Настоящим я клятвенно заверяю, что я абсолютно и полностью отрекаюсь от верности и преданности любому иностранному монарху, властителю, государству или суверенной власти, подданным или гражданином которого я являлся до этого дня; что я буду поддерживать и защищать Конституцию и законы Соединённых Штатов Америки от всех врагов, внешних и внутренних; что я буду верой и правдой служить Соединённым Штатам; что я возьму в руки оружие и буду сражаться на стороне Соединённых Штатов, когда я буду обязан сделать это по закону; что я буду нести нестроевую службу в вооружённых силах США, когда я буду обязан делать это по закону; что я буду выполнять гражданскую работу, когда я буду обязан делать это по закону; и что я произношу эту присягу открыто, без задних мыслей или намерения уклониться от её исполнения. Да поможет мне Бог».

                            0
                            Это вам так кажется.
                              0
                              Ээээ… У меня в посте много утверждений. Что именно мне кажется? Все не может казаться, т.к. текст присяги — подлинный (в переводе но из википедии).
                                0
                                Кажется, что методов нет.
                                  0
                                  Во-первых, я нигде не писал, что методов нет, я писал, что алгоритм определения идейности мне представляется сложным.

                                  Во-вторыз, краткое описание простых и понятных методов помогло бы пониманию вашей точки зрения.
                        –4
                        Что мешает ставить *nix для того, чтобы не пользоваться антивирусными продуктами, которые одобряет ФСБ?
                          0
                          а с каких пор ФСБ одобряет *nix?
                            +1
                            Например:
                            Операционная система ALT Linux 4.0 Desktop Professional, децимальный номер 46.21376425.501110-02 DVD – по 4 уровню контроля НДВ, по 5 классу СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно)
                            или:
                            Комплексное серверное решение OpenReferent on ServerUnited 1.0.10 в составе: Red Hat Enterprise Linux 5.2 Server; Lotus Domino 8.0.1; OpenReferent 3.1.4 — ЗБ, ОК(2ОУД), по 4 уровню контроля отсутствия НДВ( может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно)
                            Много их.
                              0
                              хм. спасибо, не знал!
                            0
                            Приказ ФСТЭК РФ от 05.02.2010 N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

                            2.3. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.


                            … независимо от используемых ОС
                              0
                              Например то, что 98% ПО разрабатывается под Windows и под Linux разрабатываться не будет.
                                0
                                В том-то и дело, если ваша информационная система попадает под какой-нибудь закон о сертификации/соответствии каким-то требованиям, где упомянут антивирус, то он нужен, причём сертифицированный, даже если ОС как таковой у вас вообще нет и программа грузится с биоса.
                                0
                                известно, что есть фейковые антивирусы. также известно, что по закону о госзакупках госучреждение обязано выбрать заявку по наименьшей цене. сертификация дает хотя бы защиту от того, что будет поставлен фейковый антивирус (фактически вирус), компания хотя бы раз прошедшая сертификацию вряд ли будет поставлять откровенный фейк.
                                  0
                                  Вот только законы о сертификации касаются не только государственных учреждений, а всех. Обрабатываете персональные данные (просите пользователей ввести ФИО и адрес в форме регистрации/заказа интернет-магазина) — получайте сертификат на свою систему, а для этого, в числе прочего, ставьте сертифицированный антивирус и при прохождении сертификации своей системы предъявляйте этот сертификат.

                                  С одной стороны вроде забота о гражданах, чтобы их персональные данные не утекли из-за кривых рук пользователей (операторов, редакторов и т. п.), админа или разработчика. С другой стороны большой бюрократический, да и финансовый барьер для ведения бизнеса. А уж какую возможность коррупции это даёт…
                                  +3
                                  >А вот тут, в сертификате соответствия от ФСБ, они есть, но какой же в них смысл? Лишь проверить дистрибутив перед установкой.

                                  crc легко подделываются.
                                    +1
                                    Да, вот только CRC ли это...?
                                      +1
                                      А чем оно не crc64?
                                        0
                                        На CRC похоже, просто я не видел документа, в котором конкретно говорится про алгоритм контрольной суммы.
                                          0
                                          ГОСТ, очевидно же ;-)
                                      0
                                      там сертифицированный криптографический хеш
                                      0
                                      Забавно, фсб сертифицировала setup.exe. Очень нужная сертификация =)
                                        0
                                        Кстати интересный подход — сертифицировать установщик. Ведь никто не требует, чтоб сертифицировался продукт, который устанавливается =)
                                        +1
                                        > но неужели те, кто выдает такие вещи не понимают всей бредовости ситуации

                                        Им понимать без надобности. Они так зарабатывают.
                                          +2
                                          Обновления DrWeb для «учреждений» выпускается 1 раз в год на компакт-диске, с установщиками и базами. CRC32 всех файлов есть в .txt и в бумажном виде. Это официальный и единственный диск для обновлений.

                                          Что уж говорить об актуальности баз и угроз?
                                            0
                                            Ага, там еще и версия 4.44 наверняка, которая устарела уж несколько лет как…
                                              0
                                              Для 5.0 вроде как есть сертификат.
                                                0
                                                Но на местах много где 4-ка :-(
                                                –1
                                                У Касперского для WS в настоящий момент до сих пор версия 6. Похоже, Касперы вообще забили на корпоративный рынок.
                                                  0
                                                  Древняя циферка 6 в названии нужна только чтобы не получать новый сертификат ;)
                                              +2
                                              Имхо, данная задача (защита пользователей от вирусов путем установки антивирусов+защита государства от происков врагов в IT-сфере путем установки только проверенного ПО) в целом теоретически неразрешима. Технически невозможно проверять и хешировать каждый апдейт антивируса, выходящий каждые 3 часа.
                                              Вывод: данная система как говорил автор выше предназначена ТОЛЬКО для прикрытия пятых точек членов всей иерархии (а она большая). Ну и денежки тож капают…
                                              Так что не надо расстраиваться — данная система НЕ ПРЕДНАЗНАЧЕНА для защиты конечного пользователя.
                                                0
                                                Каждый час, а то и чаще.
                                                  0
                                                  Особенно убивает то, что касперский хранит свои «дефиниции» (слово-то какое, блин!) двоичные файлы в XML (!) постоянно вошкаясь с ними по несколько минут теребя жесткий диск. Поверьте, моему компьютеру есть чем заниматься вместо переиндексации xml-ек…
                                                    0
                                                    Версия для рабочих станций еще умеет постоянно падать и забивать 300-мегабайтными дампами весь диск C до отказа, пока ОС не начнет биться в истерике…
                                                +4
                                                … вообще все эти требования защиты ПД в ФЗ №152 и технические требования к реализации в сопутствующих документах, на мой взгляд и если сказать мягко, неэффективны — на выходе получаем формальную (бумажную) безопасность и раздувание рынка ИБ. Вместо внедрения управления безопасностью и интеграции с процессами управления предприятия. Вместо определения ответственности оператора за собственно утечку ПД. Соответствие. Контроль формы вместо контроля содержания (сути). Профанация?
                                                  +2
                                                  Цель 152-ФЗ не в защите ПД, а в перемещинии денег в карманы заинтересованных лиц.
                                                  0
                                                  Рынок антивирусов это огромные деньги — у лабораторий касперского годовой оборот около 2 миллиардов долларов.
                                                  Властям тоже хочется поиметь кусочек с этого, для того и вводятся обязательные сертификации, а не для «обеспечения информационной безопасности».
                                                    +1
                                                    ФСБ навязывает использования своих «фирменных» алгоритмов шифрования, взамен малопонятных им общемировых

                                                    Помню-помню, был в свое время один общемировой — DES. Умер. Потом 3DES. Тоже умер. А советский ГОСТ от 1989 года до сих пор живее всех живых и шифрует всю гостайну.
                                                    Вообще, удивляет непонимание элементарных вещей. При создании алгоритма можно заложить уязвимости, которые будут обнаружены через годы или вообще никогда.
                                                      0
                                                      Кстати, помню один из преподов говорил мне, что если вдруг когда-нибудь будут рассекречены советские материалы по шифрованию, то выяснится, что многие нынешние общемировые алгоритмы — с бородой…
                                                        0
                                                        Во-во. Хоть один разумный человек в комментариях :-)

                                                        Спасибо.
                                                          0
                                                          Всегда мучил вопрос: раз во всех распространенных алгоритмах шифрования есть черные ходы, то почему же силовики их не вскрывают когда надо? Берегут для очень крайних случаев? Что там препод говорил по этому поводу? :)
                                                          0
                                                          Где-то смотрел таблицу стойкости… да, ГОСТ посильней даже относительно молодого md5, хотя и не так распространён.
                                                          0
                                                          Ну, сам служил командиром взвода связи и сам помогал начальнику связи, начальнику секретной части проходить сертификацию ФСТЭК помещения для хранения и обработки документов, содержащих секретные сведения. Так вот, чтобы ПК прошел сертификацию и на нем разрешили обработку указанных документов, должен быть оборудован либо шифрованной ОС (приобретается у сертифицированных и лицензированных ФСБ организаций), либо системой шифрования данных, поверх которой потом ставятся лицензионные ПО: ОС, антивирус, пакет офиса и т.д. Ставили отечественную систему шифрования «Щит». Антивирус ставили тот, который нам порекомендовали (Касперского 5.0). Так вот, все критические обновления и обновления БД потом нам привозили на дисках те же ребята, которые и устанавливали систему, проводили настройку и проводили подготовку к сертификации ПК и помещения. Вообщем, дальнейшее обслуживание также было от их организации. И еще, данный ПК был весь увешан замками. Подключение к любой сети было невозможно как на физическом, так и на программном уровне.
                                                          Ну и добавлю, сама организация также имеет и лицензии, и прямое отношение к ФСБ.
                                                            0
                                                            В таких системах обычно организуется изолированная программная среда, в которой вирусы фактически не могут существовать в живом виде, т.к. работает белый список разрешенных для запуска приложений, так что антивирус там и не нужен по сути, можно и раз в год его обновлять.
                                                              0
                                                              Антивирус требовался по факту наличия в ОС (для «галочки»). В этом с Вами полностью согласен. По поводу белого списка — распространяется не только на приложения, но и на все переменные, на все оборудование. Все файлы зашифрованы. Как и сама файловая система. Все документы, созданные на этом ПК, можно в дальнейшем вывести на печать только с этого компа — на остальных — в не читаемом шифрованном виде. Поэтому угрозы вида «скопировать в карантин» и «передать на исследование аналитикам вирусной лаборатории» — будут напрасны. Документы, составляющие гостайну или помеченные грифом «совершенно секретно», насколько я помню, хранить на электронных носителях запрещено. Остальные документы имеют очень низкую временную информационную ценность.

                                                              Конечно, если речь идет о различного рода ИЦ (организации, имеющие статус оператора обработки персональных данных), то тут утечка персональных данных, указанным в топике путем, возможна, но маловероятна и подозрительна своей открытостью и массовостью. Если антивирус будет ежедневно выкачивать файлы БД и передавать их на анализ — то это должно вызвать подозрения у системных администраторов и администраторов БД.
                                                              0
                                                              Ну для секретных (гостайна) данных это оправдано, наверное, но ведь фактически закон обязывает использовать (а предварительно сертифицировать) чуть ли не аналогичную описанной вами систему для, например, интернет-магазина.

                                                              И да, поставщики ПО для вашего интернет-магазина должны иметь лицензии и сертификаты, чтобы иметь право поставлять вам ПО, а иначе вы сертификацию не пройдёте. А что-то мне подсказывает, что организации имеющей отношение к ФСБ лицензию и сертификаты получить проще, чем не имеющей.
                                                              0
                                                              Я один вижу на втором сертификате «Windows Worktation MP4»?
                                                                0
                                                                Да, ФСБ выдало сертификат только на MP4, а ФСТЭК вообще на все версии, где есть циферка 6, вот такие они добряки там.
                                                                +1
                                                                В нашей стране все строится на двойных стандартах. И системы защиты должны быть двойными. Одна для бумаги другая для реальной работы. Вот у меня официально шлюз построен на win2003, а в реальности на FreeBSD. И не парюсь.

                                                                Only users with full accounts can post comments. Log in, please.