(на правах размышлений вслух)
Тех, кто безапелляционно и горячо принимает точку зрения автора, хочется пожалеть…
Тех, кто слепо верит в неукоснительное исполнение формулировок любого закона (каким бы он ни был) — тоже…
Но хотелось бы провести параллель с соседними постами Хабра (как минимум) — про Stuxnet, про Интернет-атаки критических объектов и проч. Да, ключевая проблема — чистый «человеческий фактор» (оставили/забыли технологический линк до глобальной сети из закрытого периметра, 3G-модем подключили и т.д.) В такой ситуации, конечно, грамотнее всего было бы учить, учить и еще раз учить. Но практика подсказывает, что неукоснительного исполнения всех норм и правил не бывает. Поэтому имеется более радикальный и, как ни странно, классический метод — контролировать все и на «рубежах» чисто техническим способом. Чтобы превентивно завернуть странный трафик от какой-нибудь АЭС в null, чтобы оперативно выявить узел-виновник и т.д. А то, что под раздачу попали частные пользователи? Ничего личного, просто периметральная защита со всеми ее плюсами и минусами…
Да, в такой схеме возможны и ошибки, и злой умысел (и со стороны подконтрольных, и со стороны контроллеров, и со стороны прокладки — тех же операторов связи). Но оперативность реагирования на инциденты, как ни странно, повышается, да и отказоустойчивость тоже…
Короче говоря, было бы неплохо на возникающую истерию взглянуть в свете вышесказанного. Плюс, подумать о том, что кричать о цензуре и не испытывать на себе последствий этой цензуры (судя по количеству и качеству статей за последние несколько дней) — это как минимум странно. Плюс, понять главное из истории Рунета в частности и Интернета вообще: первично формировалась сеть для институтов, организаций, полезной и нужной деятельности и коммуникации. Но то, во что она в итоге превратилась усилиями тех самых частных пользователей — от петабайт фотографий еды до наркоторговли — скажем так, сейчас мы начинаем ощущать кармический эффект в чистом виде…
Честно пытался, тем не менее не осилил все комментарии. Но только мне кажется, что «митинг против законопроекта об «обеспечении безопасного и устойчивого функционирования сети «Интернет» на территории Российской Федерации»» — это верх дебилизма? Семантика семантикой, но ведь в итоге можно получить «небезопасный и неустойчивый Интернет на территории РФ». В полном соответствии с желаниями голосовавших…
Попробуем разобраться…
1. Для защиты ПДн (не пишите «ПД» — в контексте безопасности это совсем другая тема) применять надо отечественные алгоритмы шифрования, реализованные в программных или программно-аппаратных комплексах с соответствующим сертификатом под соответствующий класс криптозащиты по линии ФСБ РФ. Как думаете, используют их авторы mamba.ru? А швейцарцы? В этом суть дилеммы…
2. Пример с кафе, imho, неудачный. Вы сознательно толкаете владельца WiFi-точки к нарушению закона, фабрикуя ситуацию. Да и нарушением закона такую ситуацию назвать сложно. Потому что владелец WiFi выступает все же не как Оператор ИСПДн, а как посредник и, в некотором роде, оператор связи. Другие законы, другие статьи…
3. Пример про клочок бумаги тоже неуместен. Если вы передали сами, вы же в первую голову и несете за это ответственность. +, как было сказано выше, номер телефона (да, собственно, и данные паспорта) в «чистом виде» ПДн не являются…
ЗЫ Вот меткому комментарию тов. BoogieMan75 про возраст особ женского пола аплодирую стоя. Поди отдели еще плевла от зерен, сиречь, ПДн от мусора и фантазий на любом сайте знакомств. Прецедент нужен, так, чтобы реальный ущерб. А до тех пор — это все бессмысленное сотрясение воздуха, что по логике, что по закону, imho…
А вы, любезнейший, как только садитесь задним местом на горячее, сразу начинаете грубить собеседнику? Чуть выше и раньше поучали людей про «ты» и «вы», а тут, внезапно, «использовали бы мозг», «советую выключить телевизор» и т.д. Вроде ничего криминального, но мы-то не в детском саду, где мир видится без подтекста?
Конструктивно:
1. Вначале утверждаем нечто безапелляционно.
2. Потом, распознав проссак, аккуратно уходим в сторону, с чем-то неявно соглашаясь.
3. Как только указывают на шаткость позиции — вскрываем факты и выражения, которых ранее не озвучивали, удобно прикрываясь недостаточным пониманием со стороны собеседника.
4. В конце вновь отправляем собеседника… к отхожему месту, ибо вроде как доказали его некомпетентность.
Удобно, ничего не скажешь. Дешево и сердито. Но… не парьтесь, этот раунд не в зачет. Второй, пожалуй, тоже не стану проводить — к чему с вами переходить от госзакупок к демографии/госстатистике/Украине/Сирии/etc, раз уж вы далеко не, цитирую, в «рашке», и вас это в принципе не касается? Впрочем, как и демография, госстатистика, госзакупки, госбюджет, да и работа в этой стране в целом. Вот недвижимость, это да, это почетно, но, увы, не ко мне…
ЗЫ Оценку молнии как явления и первобытные люди давали. Правы ли они были? Вопрос для домашнего задания…
раз уж настаиваете на точках над i...
Еще раз: 1/3 << 78.8/146 (да даже 80 к 140) << 2/3 в масштабах миллионов человек.
Внимание, уважаемые знатоки, вопрос: кто не умеет пользоваться головой?
Вопрос не в зачет: наличие недвижимости усиливает связь со страной до такой степени, что позволяет навешивать ярлыки воров на людей и давать советы по игнорированию госзаказов всем и каждому? По такой логике всякий иностранец, прикупивший квартирку в Венесуэле, сейчас вынужден «бить морду» на улицах Каракаса сторонникам Мадуро (Гуайдо, по вкусу)…
Бездеятельные лица, которые гордятся базовыми комментариями, тоже мало кому нравятся. А вы, извиняюсь, раз с недавних пор с РФ связаны не очень, то контексте данного конкретного обсуждения на такую категорию личностей весьма смахиваете. Увы…
Это не наезд, поймите правильно. Скорее попытка объяснить реалии дискуссии чем-то по-проще, чем «когнитивный диссонанс»…
Кстати, вроде нашел вашего информатора про 80кк собственников (уж больно любопытно стало).
ЗЫ Хотя, если хорошенько помучить Росреестр, эти данные несколько не согласуются. В среднем по 12кк принятых регистраций недвижимости на физ.лиц в год. Если ее регистрирует все та же половина населения страны, то экономический кризис у нас несколько преувеличен…
Весь вопрос в грамотном юридическом обосновании, сами понимаете. Если информацию считает критичной владелец (хоть физ.лицо, хоть контора) + оная информация не классифицирована в рамках закона (например, она якобы ограниченного доступа внутри конторы, но при этом не заявлена как «коммерческая тайна»), то и применять можно любые средства и меры защиты. Включая вопросы их получения и привлечения сторонних лиц. Но это может аукнуться уже в других сферах деятельности…
Ограничение длины ключа (да и необходимость лицензирования в общем случае) касается «производства в целях продажи»…
Про порядки выявления и согласования со всеми заинтересованными сторонами ЭУНПИ, извините, но без комментариев…
Судя по материалам исследования, бэкдор, если он есть вообще, внедрен был точно не потенциальным противником…
Интересно, почему никто из собравшихся не задумался, не деза ли это? Я не про исследование, а про «подозрительную, без явной рандомизации» выработку оных S-блоков. Сколько денег и сил должен потратить потенциальный противник, клюнувший на исследования, подобные вышеприведенному, чтобы докопаться до истины? Я, конечно, в ТК-26 не состою, но не стал бы исключать и такой вариант…
Не хотел задеть. Всего лишь неверно понял опус про «персональные данные» и «персональную информацию» из вашего предыдущего комментария…
Давайте еще раз. Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
— зарубежное ПО с любой длиной ключа;
— отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
— самопальное ПО.
Защищенные мессенджеры возможны (с длиной ключа по-выше). Выявление ЭУНПИ возможно. Но… не забывайте, что ФСБ рассматривает свою сферу деятельности применительно к государству, его организациям и комм.орг., желающим взаимодействовать с государством. Аналогично и ФСТЭК, и Минкомсвязь, и проч. От того и 149-ФЗ такой. И он не хуже, он, во всяком случае, вполне понятен…
Что же до «простых смертных»… Много чего и сам могу сказать нелицеприятного о сложившейся ситуации, но не буду — не для того мы тут собрались :)
И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…
На всякий случай уточню (вижу у вас некоторую сложность с понятиями и определениями), что персональные данные по законодательству != «любая информация, ценная для физ.лица». Посмотрите 152-ФЗ от 2006 г…
А главное, что 24-ФЗ от 95 г. уже нет. Его давно заменил 149-ФЗ от 27.07.2006З (посл. ред. от 18.12.2018). В первую голову посмотрите ст. 9 этого ФЗ…
Несколько не понял, мне ли адресован вопрос? По иерархии ссылок вроде нет, а по контексту вроде бы да…
Как бы то ни было, вдруг будет полезно: clsz.fsb.ru/license.htm, п. 4 и 7. Далее см. ПП РФ 313 и ПП РФ 171. Оба касаются юр.лиц и ИП, на физ.лиц не распространяются…
Что же касается второй части — случая защиты информации, не охраняемой законодательством РФ, — то здесь надо открывать ФЗ, ПП РФ и действующие приказы ФСБ (ФСТЭК, если СЗИ без криптографии). Собственно, при разработке без лицензии программных или программно-аппаратных изделий защиты информации их будет некорректно именовать СЗИ/СКЗИ в разрезе инфобеза в РФ. Впрочем, не суть важно. Позиция закона аналогичная: для защиты сведений, охраняемых законодательством (ПДн, ГТ, гос.КИ и т.д.) допустимы к применению СЗИ/СКЗИ, прошедшие процедуру сертификации. А сертификация подразумевает наличие лицензии у юр.лица (ИП) разработчика. Исключений три:
1. КИ коммерческой организации («коммерческая тайна») — при ее защите можно использовать любые методы и средства, не важно кем разработанные. Но есть нюанс, заключающийся в доказательстве эффективности системы защиты, построенной на базе таких средств, при аттестации системы (первый случай) и при судебном процессе, ее затрагивающем (второй случай).
2. ПДн. Тут аналогично КОНФИ, но только для СЗИ (не СКЗИ!). И только в случае хитрож грамотного построения бумажной (редко, но возможно, что и фактической) стороны общей системы защиты информации.
3. Служебная тайна (она же «ДСП»). Поскольку до сих пор нет ФЗ, ее утверждающего. Есть, правда, и крайний случай — атомная промышленность и иже с ней согласно одному древнему ПП РФ. Но, положа руку на сердце, скажу, что по факту служебную тайну рассматривают как охраняемую законом информацию и, следовательно, требуют и сертификации, и лицензирования производства/разработки применяемых средств защиты…
ЗЫ Написал и понял, что Хабр как-то странно поступает с отображением иерархических связей ответов. То ли мне так «повезло», то ли достигнут конец функции «сдвига». Не важно. Понял, тов. Inanity, что вопрос был ко мне :)
Ох уж эти сказочки, ох уж эти сказочники…
1. Пример со ссылкой на МСВС так же голословен, как и все словоблудия в Сети. Товарищ virens и иже с ним анализировали дистрибутив на предмет интерфейса и краткого экскурса в состав. Выложи ли бы они кейсы для обхода встроенной системы защиты МСВС — был бы другой коленкор. И тогда ссылочка уже была бы в тему текущего обсуждения про сертификацию СЗИ/СКЗИ…
2. Полковник Захарченко разве из ФСБ? Разве отвечал или касался вопросов сертификации средств защиты информации по какой-либо линии? Странный выстрел мимо темы, как чуть выше с Телеграмом…
3. Номер сертификата на Круиз-К не подскажете? Или его шифр-наименование? Тут без шуток, в реестр ФСБ его не нашел. Заодно любопытно будет понять — по дате выдачи сертификата — когда в ФСБ царила коррупция, раз уж пошла такая пьянка. Не козней ради, но личного тезауруса для…
Пожалуйста, не путайте народ…
1. СКЗИ. СЗИ по линии ФСБ — это совсем другая песня…
2. Можно разрабатывать СЗИ/СКЗИ без лицензии. Для частного пользования, т.е. «физ.лицо-физ.лицо». И не для защиты информации, охраняемой законодательством. Аналогично с применением зарубежных криптоалгоритмов…
3. Государство, ограничивая доступ к исходникам и итоговым продуктам, а также путем предварительной сертификации, хочет гарантировать, что разработка, внедрение и эксплуатация СЗИ/СКЗИ, которые в первую голову применяются для работы с государственными ресурсами и органами (организациями), не вызовет:
— появления неопубликованных 0-day от неустановленных лиц, которые будут использоваться против государства в первую очередь;
— подделки продуктов с целью их сбыта и снижения защищенности оконечных систем;
— подключения к распределенным гос.системам неустановленных контор, использующих оные СЗИ/СКЗИ.
Под гарантированием следует понимать снижение вероятности до приемлемых значений. imho, как по мне, разумные и понятные причины…
А вы все телеграм, телеграм…
Поднять можно. Сегодня как раз поднимали с коллегой s2s — с первого раза не взлетело. И техподдержки кроме man никакой, разумеется…
Но в гос.органах своя специфика. Opensource требует грамотности и прямых рук. Проприетарные поделия, заведенные на чужую среду, не рассматриваются принципиально по причине отсутствия к ней доверия. Проприетарщина же, разворачиваемая в локали, возможна, но у нас же курс на «поддержи отечественного»? :)
Вот и получается, что даже если IVA AVES S — это jabber отечественного розлива, но со сбалансированной схемой xmpp + jingle (например) + STUN + прочие приблуды для ВКС + win/lin/android/iOS + гарантированная техподдержка, то для гос.сектора это будет лучшим выходом из сложившейся ситуации. Стоимость, конечно, решает многое, но…
Смущает расхождение на сайте Круиза: КА + засекреченная связь, но «не выше конфиденциально». Для конфи-связи 85к реально многовато, а вот в ином случае…
С ноутбуком тоже не совсем ясно: если он не только корпусом и внутренней укладкой компонент похож на защищенные Getac, но и ОПО/ППО/СЗИ имеет в защищенном исполнении (для обработки особо чувствительной информации) + мобильность его не ограничена палаткой высокого руководителя, то ценник вменяемый. Для справки, обычный ноутбук превратить в защищенное рабочее место под такие условия выйдет дороже…
Про «личный» (серверы в периметре организации, а не в облаке чужого дяди) мессенджер радует само движение: слушают там абонентов или нет (больно надо ФСБ всех подряд слушать), не суть важно. Главное, чтобы к онлайн-обсуждению гос.информации были допущены конкретные люди, а не штаб владельцев-разрабочиков «популярных сетевых средств коммуникации». А то понаставят WhatsApp/Skype/etc из принципа «все побежали и я побежал» или «оно же удобно, да и кому я нужен?»…
Тех, кто безапелляционно и горячо принимает точку зрения автора, хочется пожалеть…
Тех, кто слепо верит в неукоснительное исполнение формулировок любого закона (каким бы он ни был) — тоже…
Но хотелось бы провести параллель с соседними постами Хабра (как минимум) — про Stuxnet, про Интернет-атаки критических объектов и проч. Да, ключевая проблема — чистый «человеческий фактор» (оставили/забыли технологический линк до глобальной сети из закрытого периметра, 3G-модем подключили и т.д.) В такой ситуации, конечно, грамотнее всего было бы учить, учить и еще раз учить. Но практика подсказывает, что неукоснительного исполнения всех норм и правил не бывает. Поэтому имеется более радикальный и, как ни странно, классический метод — контролировать все и на «рубежах» чисто техническим способом. Чтобы превентивно завернуть странный трафик от какой-нибудь АЭС в null, чтобы оперативно выявить узел-виновник и т.д. А то, что под раздачу попали частные пользователи? Ничего личного, просто периметральная защита со всеми ее плюсами и минусами…
Да, в такой схеме возможны и ошибки, и злой умысел (и со стороны подконтрольных, и со стороны контроллеров, и со стороны прокладки — тех же операторов связи). Но оперативность реагирования на инциденты, как ни странно, повышается, да и отказоустойчивость тоже…
Короче говоря, было бы неплохо на возникающую истерию взглянуть в свете вышесказанного. Плюс, подумать о том, что кричать о цензуре и не испытывать на себе последствий этой цензуры (судя по количеству и качеству статей за последние несколько дней) — это как минимум странно. Плюс, понять главное из истории Рунета в частности и Интернета вообще: первично формировалась сеть для институтов, организаций, полезной и нужной деятельности и коммуникации. Но то, во что она в итоге превратилась усилиями тех самых частных пользователей — от петабайт фотографий еды до наркоторговли — скажем так, сейчас мы начинаем ощущать кармический эффект в чистом виде…
1. Для защиты ПДн (не пишите «ПД» — в контексте безопасности это совсем другая тема) применять надо отечественные алгоритмы шифрования, реализованные в программных или программно-аппаратных комплексах с соответствующим сертификатом под соответствующий класс криптозащиты по линии ФСБ РФ. Как думаете, используют их авторы mamba.ru? А швейцарцы? В этом суть дилеммы…
2. Пример с кафе, imho, неудачный. Вы сознательно толкаете владельца WiFi-точки к нарушению закона, фабрикуя ситуацию. Да и нарушением закона такую ситуацию назвать сложно. Потому что владелец WiFi выступает все же не как Оператор ИСПДн, а как посредник и, в некотором роде, оператор связи. Другие законы, другие статьи…
3. Пример про клочок бумаги тоже неуместен. Если вы передали сами, вы же в первую голову и несете за это ответственность. +, как было сказано выше, номер телефона (да, собственно, и данные паспорта) в «чистом виде» ПДн не являются…
ЗЫ Вот меткому комментарию тов. BoogieMan75 про возраст особ женского пола аплодирую стоя. Поди отдели еще плевла от зерен, сиречь, ПДн от мусора и фантазий на любом сайте знакомств. Прецедент нужен, так, чтобы реальный ущерб. А до тех пор — это все бессмысленное сотрясение воздуха, что по логике, что по закону, imho…
Конструктивно:
1. Вначале утверждаем нечто безапелляционно.
2. Потом, распознав проссак, аккуратно уходим в сторону, с чем-то неявно соглашаясь.
3. Как только указывают на шаткость позиции — вскрываем факты и выражения, которых ранее не озвучивали, удобно прикрываясь недостаточным пониманием со стороны собеседника.
4. В конце вновь отправляем собеседника… к отхожему месту, ибо вроде как доказали его некомпетентность.
Удобно, ничего не скажешь. Дешево и сердито. Но… не парьтесь, этот раунд не в зачет. Второй, пожалуй, тоже не стану проводить — к чему с вами переходить от госзакупок к демографии/госстатистике/Украине/Сирии/etc, раз уж вы далеко не, цитирую, в «рашке», и вас это в принципе не касается? Впрочем, как и демография, госстатистика, госзакупки, госбюджет, да и работа в этой стране в целом. Вот недвижимость, это да, это почетно, но, увы, не ко мне…
ЗЫ Оценку молнии как явления и первобытные люди давали. Правы ли они были? Вопрос для домашнего задания…
раз уж настаиваете на точках над i...Еще раз: 1/3 << 78.8/146 (да даже 80 к 140) << 2/3 в масштабах миллионов человек.
Внимание, уважаемые знатоки, вопрос: кто не умеет пользоваться головой?
Вопрос не в зачет: наличие недвижимости усиливает связь со страной до такой степени, что позволяет навешивать ярлыки воров на людей и давать советы по игнорированию госзаказов всем и каждому? По такой логике всякий иностранец, прикупивший квартирку в Венесуэле, сейчас вынужден «бить морду» на улицах Каракаса сторонникам Мадуро (Гуайдо, по вкусу)…
Это не наезд, поймите правильно. Скорее попытка объяснить реалии дискуссии чем-то по-проще, чем «когнитивный диссонанс»…
Кстати, вроде нашел вашего информатора про 80кк собственников (уж больно любопытно стало).
ЗЫ Хотя, если хорошенько помучить Росреестр, эти данные несколько не согласуются. В среднем по 12кк принятых регистраций недвижимости на физ.лиц в год. Если ее регистрирует все та же половина населения страны, то экономический кризис у нас несколько преувеличен…
Ограничение длины ключа (да и необходимость лицензирования в общем случае) касается «производства в целях продажи»…
Про порядки выявления и согласования со всеми заинтересованными сторонами ЭУНПИ, извините, но без комментариев…
Интересно, почему никто из собравшихся не задумался, не деза ли это? Я не про исследование, а про «подозрительную, без явной рандомизации» выработку оных S-блоков. Сколько денег и сил должен потратить потенциальный противник, клюнувший на исследования, подобные вышеприведенному, чтобы докопаться до истины? Я, конечно, в ТК-26 не состою, но не стал бы исключать и такой вариант…
Давайте еще раз. Для защиты «личной информации», не регулируемой законодательством, физ.лица могут использовать без «поэкземплярного учета» и проч. заморочек:
— зарубежное ПО с любой длиной ключа;
— отечественное ПО, не классифицированное как СЗИ/СКЗИ (читай, без сертификата — такие имеются в огромном количестве);
— самопальное ПО.
Защищенные мессенджеры возможны (с длиной ключа по-выше). Выявление ЭУНПИ возможно. Но… не забывайте, что ФСБ рассматривает свою сферу деятельности применительно к государству, его организациям и комм.орг., желающим взаимодействовать с государством. Аналогично и ФСТЭК, и Минкомсвязь, и проч. От того и 149-ФЗ такой. И он не хуже, он, во всяком случае, вполне понятен…
Что же до «простых смертных»… Много чего и сам могу сказать нелицеприятного о сложившейся ситуации, но не буду — не для того мы тут собрались :)
И да, либо вы неверно поняли, либо ваш товарищ решил нагнать паники — с выявлением ЭУНПИ дела обстоят иначе. Но да, поскольку это вид деятельности особого характера, он полностью под контролем регулятора находится…
А главное, что 24-ФЗ от 95 г. уже нет. Его давно заменил 149-ФЗ от 27.07.2006З (посл. ред. от 18.12.2018). В первую голову посмотрите ст. 9 этого ФЗ…
Как бы то ни было, вдруг будет полезно: clsz.fsb.ru/license.htm, п. 4 и 7. Далее см. ПП РФ 313 и ПП РФ 171. Оба касаются юр.лиц и ИП, на физ.лиц не распространяются…
Что же касается второй части — случая защиты информации, не охраняемой законодательством РФ, — то здесь надо открывать ФЗ, ПП РФ и действующие приказы ФСБ (ФСТЭК, если СЗИ без криптографии). Собственно, при разработке без лицензии программных или программно-аппаратных изделий защиты информации их будет некорректно именовать СЗИ/СКЗИ в разрезе инфобеза в РФ. Впрочем, не суть важно. Позиция закона аналогичная: для защиты сведений, охраняемых законодательством (ПДн, ГТ, гос.КИ и т.д.) допустимы к применению СЗИ/СКЗИ, прошедшие процедуру сертификации. А сертификация подразумевает наличие лицензии у юр.лица (ИП) разработчика. Исключений три:
1. КИ коммерческой организации («коммерческая тайна») — при ее защите можно использовать любые методы и средства, не важно кем разработанные. Но есть нюанс, заключающийся в доказательстве эффективности системы защиты, построенной на базе таких средств, при аттестации системы (первый случай) и при судебном процессе, ее затрагивающем (второй случай).
2. ПДн. Тут аналогично КОНФИ, но только для СЗИ (не СКЗИ!). И только в случае
хитрожграмотного построения бумажной (редко, но возможно, что и фактической) стороны общей системы защиты информации.3. Служебная тайна (она же «ДСП»). Поскольку до сих пор нет ФЗ, ее утверждающего. Есть, правда, и крайний случай — атомная промышленность и иже с ней согласно одному древнему ПП РФ. Но, положа руку на сердце, скажу, что по факту служебную тайну рассматривают как охраняемую законом информацию и, следовательно, требуют и сертификации, и лицензирования производства/разработки применяемых средств защиты…
ЗЫ Написал и понял, что Хабр как-то странно поступает с отображением иерархических связей ответов. То ли мне так «повезло», то ли достигнут конец функции «сдвига». Не важно. Понял, тов. Inanity, что вопрос был ко мне :)
1. Пример со ссылкой на МСВС так же голословен, как и все словоблудия в Сети. Товарищ virens и иже с ним анализировали дистрибутив на предмет интерфейса и краткого экскурса в состав. Выложи ли бы они кейсы для обхода встроенной системы защиты МСВС — был бы другой коленкор. И тогда ссылочка уже была бы в тему текущего обсуждения про сертификацию СЗИ/СКЗИ…
2. Полковник Захарченко разве из ФСБ? Разве отвечал или касался вопросов сертификации средств защиты информации по какой-либо линии? Странный выстрел мимо темы, как чуть выше с Телеграмом…
3. Номер сертификата на Круиз-К не подскажете? Или его шифр-наименование? Тут без шуток, в реестр ФСБ его не нашел. Заодно любопытно будет понять — по дате выдачи сертификата — когда в ФСБ царила коррупция, раз уж пошла такая пьянка. Не козней ради, но личного тезауруса для…
1. СКЗИ. СЗИ по линии ФСБ — это совсем другая песня…
2. Можно разрабатывать СЗИ/СКЗИ без лицензии. Для частного пользования, т.е. «физ.лицо-физ.лицо». И не для защиты информации, охраняемой законодательством. Аналогично с применением зарубежных криптоалгоритмов…
3. Государство, ограничивая доступ к исходникам и итоговым продуктам, а также путем предварительной сертификации, хочет гарантировать, что разработка, внедрение и эксплуатация СЗИ/СКЗИ, которые в первую голову применяются для работы с государственными ресурсами и органами (организациями), не вызовет:
— появления неопубликованных 0-day от неустановленных лиц, которые будут использоваться против государства в первую очередь;
— подделки продуктов с целью их сбыта и снижения защищенности оконечных систем;
— подключения к распределенным гос.системам неустановленных контор, использующих оные СЗИ/СКЗИ.
Под гарантированием следует понимать снижение вероятности до приемлемых значений. imho, как по мне, разумные и понятные причины…
А вы все телеграм, телеграм…
Но в гос.органах своя специфика. Opensource требует грамотности и прямых рук. Проприетарные поделия, заведенные на чужую среду, не рассматриваются принципиально по причине отсутствия к ней доверия. Проприетарщина же, разворачиваемая в локали, возможна, но у нас же курс на «поддержи отечественного»? :)
Вот и получается, что даже если IVA AVES S — это jabber отечественного розлива, но со сбалансированной схемой xmpp + jingle (например) + STUN + прочие приблуды для ВКС + win/lin/android/iOS + гарантированная техподдержка, то для гос.сектора это будет лучшим выходом из сложившейся ситуации. Стоимость, конечно, решает многое, но…
С ноутбуком тоже не совсем ясно: если он не только корпусом и внутренней укладкой компонент похож на защищенные Getac, но и ОПО/ППО/СЗИ имеет в защищенном исполнении (для обработки особо чувствительной информации) + мобильность его не ограничена палаткой высокого руководителя, то ценник вменяемый. Для справки, обычный ноутбук превратить в защищенное рабочее место под такие условия выйдет дороже…
Про «личный» (серверы в периметре организации, а не в облаке чужого дяди) мессенджер радует само движение: слушают там абонентов или нет (больно надо ФСБ всех подряд слушать), не суть важно. Главное, чтобы к онлайн-обсуждению гос.информации были допущены конкретные люди, а не штаб владельцев-разрабочиков «популярных сетевых средств коммуникации». А то понаставят WhatsApp/Skype/etc из принципа «все побежали и я побежал» или «оно же удобно, да и кому я нужен?»…