> Кстати, стоило бы представитьcя.
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
Соответственно в контексте ответов на эти вопросы, моя аффилированность/неаффилированность с НПО Эшелон роли не играет
Любая проверка (ГИБДД, санэпидемслужба, пожарные, проверка строительных сооружений, СНИПы и прочее) помимо своих основных функций служат кормушкой для тех или иных групп людей.
Означает ли это, что никакой проверки не нужно?
Следует ли из этого, что все сертификации, лицензии и проверки нужно отменить?
Если считаете, что в «рашке» всегда все неправильно, то посмотрите за границу, на их Orange буки, Common Criteria и прочие стандарты.
В США чуть ли не у каждого ведомства свои подходы и документы.
> Кстати, стоило бы представитьcя.
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
ТУ делает сам разработчик. но по требованиям заказчика.
Оно как правило поставляется с продуктом.
В ТУ прописываются все требования по функционалу и другим вещам, а также набор их проверок.
Но даже это не важно, ваш тезис был:
>кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ
Он неверен
Если речь идёт о каких-то стандартах, то да, открытых нормативных, методических, руководящих документов и стандартов для проверки допустим сканеров уязвимостей сейчас в России нет. Но насколько мне известно, во ФСТЭКе сейчас их пишут.
Плохо значит объясняли. Извините, но ваш пост выглядит как сборник заблуждений:
поехали по списку:
>Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему.
Открываем рееестр ФСТЭК: www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
Читаем:
2204 13.11.2010 13.11.2013 Сканер-ВС Программный комплекс «Сканер-ВС» — по 4 уровню контроля отсутствия НДВ и ТУ.
Что такое ТУ объяснять надо? Можете спросить у ваших знающих :)
> Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
Это не совсем так, есть Общие критерии, есть профили защиты для различных систем (и операционные системы, и биллинговые системы, и СУБД, и удостоверяющие центры) на сайте того же ФСТЭКа: www.fstec.ru/_licen/_m1.htm
Но в целом речь идёт о системе сертификации СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ в первую очередь, а не всего остального.
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
Соответственно в контексте ответов на эти вопросы, моя аффилированность/неаффилированность с НПО Эшелон роли не играет
Означает ли это, что никакой проверки не нужно?
Следует ли из этого, что все сертификации, лицензии и проверки нужно отменить?
Если считаете, что в «рашке» всегда все неправильно, то посмотрите за границу, на их Orange буки, Common Criteria и прочие стандарты.
В США чуть ли не у каждого ведомства свои подходы и документы.
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D1%83%D1%81%D0%BB%D0%BE%D0%B2%D0%B8%D1%8F
ТУ делает сам разработчик. но по требованиям заказчика.
Оно как правило поставляется с продуктом.
В ТУ прописываются все требования по функционалу и другим вещам, а также набор их проверок.
Но даже это не важно, ваш тезис был:
>кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ
Он неверен
Если речь идёт о каких-то стандартах, то да, открытых нормативных, методических, руководящих документов и стандартов для проверки допустим сканеров уязвимостей сейчас в России нет. Но насколько мне известно, во ФСТЭКе сейчас их пишут.
поехали по списку:
>Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему.
Открываем рееестр ФСТЭК: www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
Читаем:
2204 13.11.2010 13.11.2013 Сканер-ВС Программный комплекс «Сканер-ВС» — по 4 уровню контроля отсутствия НДВ и ТУ.
Что такое ТУ объяснять надо? Можете спросить у ваших знающих :)
> Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
Это не совсем так, есть Общие критерии, есть профили защиты для различных систем (и операционные системы, и биллинговые системы, и СУБД, и удостоверяющие центры) на сайте того же ФСТЭКа:
www.fstec.ru/_licen/_m1.htm
Но в целом речь идёт о системе сертификации СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ в первую очередь, а не всего остального.
Заранее спасибо