Комментарии 88
Молодцы!
Было бы интересно поподробнее узнать про саму сертификацию, в чем она состоит, для чего она нужна, чем отличается от аналогов и тп. А за топик спасибо.
Существуют сферы деятельности которые запрещают использовать не сертифицированное ПО. К примеру, любая гос структура. Для частных во многом она носит рекомендательный характер. Сейчас из-за закона о персональных данных эта штука встала особо остро. Т.к. компании работающие в этой сфере просто не успевают обрабатывать запросы. Лично мне кажется это сделано для:
— Срубить денег не напрягаясь
— Уйти от ответственности, ведь если за бугром не будешь защищать данные и их стащат, то отвечает контора их охранявшая, а у нас получится, она скажет: А у нас всё сертифицировано, так что вмилицию полицию. А там если не найдут то пожмут плечами. Найдут, впилят условный сроки и попросят прощения.
Плюс любая контора проводящая аудит, начнёт требовать сертификацию.
— Срубить денег не напрягаясь
— Уйти от ответственности, ведь если за бугром не будешь защищать данные и их стащат, то отвечает контора их охранявшая, а у нас получится, она скажет: А у нас всё сертифицировано, так что в
Плюс любая контора проводящая аудит, начнёт требовать сертификацию.
Нужна она, как уже писалось выше (и по ссылкам) для всех кто обрабатывает персональные данные (тот самый ФЗ-152). Это и мед. учреждения, страховые конторы, банки, да почти все крупные предприятия! И это все до 1 июля нужно сделать. Отдельно это гос. конторы работающие с секреткой.
Про сертификацию можно у самих сертификаторщиков почитать www.npo-echelon.ru/index.php, замечу — это один из сертифицирующих центров. Он АстраЛинукс сертифицировал.
Но Альт Линукс сертифицирован не здесь.
А я этого и не утверждал…
а где? :)
Версия платная? или бесплатная? Для коммерческого использования.
4.0 выходила как платная, в коробках и с «поддержкой». Чуть позже появилась сертифицированная (с сертификатом и специальной наклейкой), которая стоила б́ольших денег. Т.е. одновременно можно было купить просто коробку с сертификатом ФСТЭК. Так же был вариант скачать бесплатно. Думаю, что с шестой версией будет тоже самое. Но судя по странице продукта, пока всё не так.
я правильно понимаю, что кроме сертифицированных обновлений на этот сервер накатывать ничего нельзя?
Хм… ИМХО, но все это — еще одна посадка на баки.
Вот меня вопрос мучает. Если я пере соберу ядро альт линукса, сертификат ФСТЭК на него уже не будет действовать?
Насколько мне известно, даже если вы обновите калькулятор gcalctool до последней версии, придется получать новый сертификат.
Разве сертификат не дает право обновлять ПО с официальных репозиториев?
Вот и я о том же. Что за линукс, который нельзя тюнинговать?!
> Firefox 3.6.12
Последняя версия с секьюрити-фиксами это 3.6.16. Так что гарантированно сертифицированный дистр с гарантированными дырами. Разве что разработчики дистра бекпортировали все патчи на 3.6.12 (в чём я сомневаюсь, дебиановцы от такого способа откалазись — говорят слишком сложно).
Последняя версия с секьюрити-фиксами это 3.6.16. Так что гарантированно сертифицированный дистр с гарантированными дырами. Разве что разработчики дистра бекпортировали все патчи на 3.6.12 (в чём я сомневаюсь, дебиановцы от такого способа откалазись — говорят слишком сложно).
А какая разница сколько дыр в ПО если сертифицированные системы, как правило, имеют замкнутую программную среду без доступа в не сертифицированную сеть.
ну как-то так
А по сути — угрозы безопасности пока нет. Еще раз повторюсь, что речь идет не о системе обработки данных, а об операционной системе. Нет данных — нет угрозы. если система состоит из 1 человека и 1 компьютера, запертого на глубине 10000м без возможности коммуникации, то можно хоть какие секреты в такой системе обрабатывать.
А тогда зачем сертификация вообще?
Да ладно без доступа. Сколько персональных данных хранится и обрабатывается на различных сайтах?
Вот как раз в замкнутой среде сертификация нужна реже.
Тюнинговать его можно! Сертификат от этого не теряется. Понятно, что если вы Альт на BSD поменяете, то всё пропало :) Но если не менять базовую систему (ключевые компоненты, систему мандатного доступа), то на аттестацию это не влияет. Посмотрите на сайте ФСТЭКа документы, они большие, но не слишком замутные.
Да, при получении сертификата обновляться нельзя. При обнаружении дыры, запускается большая бюрократическая машина.
> Насколько мне известно, даже если вы обновите калькулятор gcalctool до последней версии, придется получать новый сертификат.
Не придется! :) На сколько я понимаю, мелкий софт или там браузер можно обновить спокойно. Но лучше уточнить у тех, кто вас будет проверять и/или аттестовывать. Кстати, будут выходить сертифицированные обновления.
Не придется! :) На сколько я понимаю, мелкий софт или там браузер можно обновить спокойно. Но лучше уточнить у тех, кто вас будет проверять и/или аттестовывать. Кстати, будут выходить сертифицированные обновления.
Куда уж там RHEL и SLES до Альт Линукса и сертификатов ФСТЭК. Срочно переводим сервера на сертифицированный Linux дабы не нарушить закон «О персональных данных».
Могут, если используются в сертифицированных автоматизированных системах.
RHEL давно уже сертифицирован не хуже альтов.
К сожалению, сертификация конкретной конфигурации операционной системы не избавляет от сертификации автоматизированной системы в целом — с этим проблем существенно больше. Хотя конечно приятно, что дистрибутив "может быть использован для разработки...".
Молодцы. Долго и усердно его пилят, с поддержкой тоже всё отлично. Давно пора.
Цена впечатляет…
Я тоже удивлен.
Альт Линукс 5.0 Ковчег (Сервер + Десктоп) 1400руб
Альт Линукс СПТ 6.0 Рабочая станция Сертификат ФСТЭК 7000руб. + Альт Линукс СПТ 6.0 Сервер Сертификат ФСТЭК 20000 руб.
Итого 25600 руб. за бумажку с печатью…
Что-то нужно менять в системе сертификации, раз столько денег на нее уходит…
Альт Линукс 5.0 Ковчег (Сервер + Десктоп) 1400руб
Альт Линукс СПТ 6.0 Рабочая станция Сертификат ФСТЭК 7000руб. + Альт Линукс СПТ 6.0 Сервер Сертификат ФСТЭК 20000 руб.
Итого 25600 руб. за бумажку с печатью…
Что-то нужно менять в системе сертификации, раз столько денег на нее уходит…
На самом деле проверить много гигабайт кода на «недекларированные возможности» это очень, очень дорого.
Практика показывает, что эта проверка ничего не означает. В проверенных продуктах есть дырки. сертификация — формальность, чтобы все было по закону. А по жизни, по моему, последняя стабильная версия популярной во всем мире open source системы, за которой следят и тестируют миллионы людей более безопасна, нежили старая конкретная сборка, которую проверила узкая группа специалистов.
Вы просто не понимаете цели сертификации, лицензирования и т.д.
Их цель — не пофиксить баги, не закрыть дырки, не решить какие-то технические проблемы и не обеспечить безопасность.
Любой сертификат — это такая бумажка, прикрывающая сразу целый ряд чиновничьих и манагерских задниц.
Случись чего — куча народа сможет заявить, что они не при чем, что у них сертификат, который дает им право не делать и не думать. Сертификат вроде как снимает с них ответственность. При этом на других — тех кто сертификат выдал — в большинстве случаев ничего не вешается, точнее вешается, но на деле они мастерски уворачиваются.
Сертификация — это такой ритуал, позволяющий сидеть ровными попами на теплых местах, пилить бюджеты, получать зарплаты и чем-то «управлять», но при этом ни за что не отвечать.
И пока кардинально не изменится система управления человечеством — ничего не изменится.
Их цель — не пофиксить баги, не закрыть дырки, не решить какие-то технические проблемы и не обеспечить безопасность.
Любой сертификат — это такая бумажка, прикрывающая сразу целый ряд чиновничьих и манагерских задниц.
Случись чего — куча народа сможет заявить, что они не при чем, что у них сертификат, который дает им право не делать и не думать. Сертификат вроде как снимает с них ответственность. При этом на других — тех кто сертификат выдал — в большинстве случаев ничего не вешается, точнее вешается, но на деле они мастерски уворачиваются.
Сертификация — это такой ритуал, позволяющий сидеть ровными попами на теплых местах, пилить бюджеты, получать зарплаты и чем-то «управлять», но при этом ни за что не отвечать.
И пока кардинально не изменится система управления человечеством — ничего не изменится.
Согласен с вами полностью. Просто обидно что все так…
+100500
Но, имхо, просто не надо принимать законы, от которых ни какого толку, а только производство кучи макулатуры ну и обеспечения нескольких дополнительных ставок в гос. структурах — куда уж без этого…
Ах да! И быстрее, быстрее пилить бюджет, пока ни кто не очухался — хотя кто очухается? Сами пишем закон — сами пилим деньги с него… Россия, однако!
Но, имхо, просто не надо принимать законы, от которых ни какого толку, а только производство кучи макулатуры ну и обеспечения нескольких дополнительных ставок в гос. структурах — куда уж без этого…
Ах да! И быстрее, быстрее пилить бюджет, пока ни кто не очухался — хотя кто очухается? Сами пишем закон — сами пилим деньги с него… Россия, однако!
В рамках сегодняшней структуры власти (римское право, три ветви и все такое) одним законом ничего сделать невозможно. Сертификация на этапе подготовки к ней заставляет сделать хоть что-то, хотя бы прикрывать совсем уж явные косяки и не совершать совсем уж глупые ошибки. Вариант «подогнать проверяющему», правда, тоже имеется, но этот вариант несистемный=).
Хочется ошибаться, но, по-моему, шансы получить заветный сертификат куда больше, если отдать работы на аутсорс «правильной» фирме, независимо от того, что сделано будет реально. Поставят на рабочую станцию под линукс сертифицированный антивирус (положено!), а возможность логина под рутом не отключат.
вот не надо только про «смену системы управления человечеством» — лучше уж так как есть чем в «пластиковые гробы» (см. «Гробы для американцев»)
Было бы классно, если при проверке они фиксили все баги.
Чет я тогда не понимаю — лицензия на сертифицированную винду стоит примерно столько же. Мне кажется, что с такими ценниками теряется основное конкурентное преимущество линукса.
Ситуация 1. У вас был сайт на LAMP. Бац — ВНЕЗАПНО появился закон про персональные данные, который вас касается. У вас варианты — переезжать на винду или на альт линукс.
Ситуация 2. У вас свой сервер за несколько килобаксов, возможно не один. На нем крутится сайт, на разработку и доработку которого ушло несколько человеко-лет, по цене в десятки килобаксов за каждый человеко-год. Плюс-минус 20к руб за ОС в этом случае погоды не делает.
Собственно редхат и прочие там каноникал именно за счет ситуации 2 и живут.
Ситуация 2. У вас свой сервер за несколько килобаксов, возможно не один. На нем крутится сайт, на разработку и доработку которого ушло несколько человеко-лет, по цене в десятки килобаксов за каждый человеко-год. Плюс-минус 20к руб за ОС в этом случае погоды не делает.
Собственно редхат и прочие там каноникал именно за счет ситуации 2 и живут.
Windows сертифицирована на класс ниже — НСД только 5 (и, соответственно, 1Г и и персданные всего лишь до К2). Я лично по-любому Linux выберу сертифицированный, а не винду :) Потом сертифицированный windows server будет существенно дороже (там дополнительный ценник за ФСТЭК), да ещё за каждое подключение нужно заплатить. А тут нет ограничений по количеству пользователей на сервере.
А если найдут мегадыру в каком-нибудь приложении (через которую можно root доступ получить) то как тогда быть? =)
А если стоит сертифицированный Linux на сервере и этот сервер взломают через эту дыру? То кто крайний?
А если стоит сертифицированный Linux на сервере и этот сервер взломают через эту дыру? То кто крайний?
Товарищи! Я тут начитал кучу комментариев на тему сертификации, и хочу внести свои пять копеек:
1. Зачем все нужно — как правильно заметил hoxnox, для создания «сертифицированных автоматизированных системах» и причем в государственных структурах — типа МинОбороны, т.е. без подобного рода сертификатов тебе скажут в 100% случаев — ты чего мальчик, у нас Венда есть, хотя ее тоже можно сертифицировать.
2. Я искренне рад за АльтЛинукс и то что им удалось пройти ОЧЕНЬ нелегкий и затратный путь сертификации, времени это должно было занять около 8-12 месяцев, денег — крайне неприличное количество, и ту цену, что оны выкатили за лицензию — это вполне по божески.
3. Фстек, это еще не самая жестокая сертификация, есть по проще — МВД, МинСвязи, и есть по серьезней ФСБ(8 управление), также все делится на уровни доступа — данный сертификат например не позволит работать с данными, представляющими гос тайну или СС, для этого нужен минимум 1 НДВ, и 2 НСД.
4. При сертификации у всех пакетов фиксируется контрольная сумма, и любое ее изменение влечет потерю лицензии, исключение только конфигурационные файлы и другие изменяемые файлы.
5. Ярким представителем «еще более сертифицированного» дистрибутива является ASTRA Linux.
1. Зачем все нужно — как правильно заметил hoxnox, для создания «сертифицированных автоматизированных системах» и причем в государственных структурах — типа МинОбороны, т.е. без подобного рода сертификатов тебе скажут в 100% случаев — ты чего мальчик, у нас Венда есть, хотя ее тоже можно сертифицировать.
2. Я искренне рад за АльтЛинукс и то что им удалось пройти ОЧЕНЬ нелегкий и затратный путь сертификации, времени это должно было занять около 8-12 месяцев, денег — крайне неприличное количество, и ту цену, что оны выкатили за лицензию — это вполне по божески.
3. Фстек, это еще не самая жестокая сертификация, есть по проще — МВД, МинСвязи, и есть по серьезней ФСБ(8 управление), также все делится на уровни доступа — данный сертификат например не позволит работать с данными, представляющими гос тайну или СС, для этого нужен минимум 1 НДВ, и 2 НСД.
4. При сертификации у всех пакетов фиксируется контрольная сумма, и любое ее изменение влечет потерю лицензии, исключение только конфигурационные файлы и другие изменяемые файлы.
5. Ярким представителем «еще более сертифицированного» дистрибутива является ASTRA Linux.
У альта был сертифицирован еще очень старый альт-линукс 4, так что им невпервой.
Причем сертификат на альт4 заканчивался, если мне не изменяет мой склероз, осенью 2010, и получалась временная дыра, когда сертифицированного линукса не было. Астра все же очень специфический продукт.
Причем сертификат на альт4 заканчивался, если мне не изменяет мой склероз, осенью 2010, и получалась временная дыра, когда сертифицированного линукса не было. Астра все же очень специфический продукт.
Астра по составу софта плюс минус, сопоставима с сабжем, по применяемости — вопрос, к РусБитеху, но я видел огромное количество инсталляций астры, и мое мнение АльтЛинукс хорошо, только не понятна ниша — для СС нужно по серьезнее, а для просто конфедициалки — Венда + НСД нахлобучка… типа SecureNet
Самым первым в 2002 был сертифицирован ещё Альт Линукс Мастер 2.0 (под именем Утес-К). Продавался в таких увесистых черных чемоданчиках.
На Альт Линукс 4.0 Сервер закончился в прошлом году, на Альт Линукс 4.0 Десктоп заканчивается в июле. И сертифицированы они были на меньший класс. Так что тут, можно сказать, существенный шаг вперед (а то и два).
На Альт Линукс 4.0 Сервер закончился в прошлом году, на Альт Линукс 4.0 Десктоп заканчивается в июле. И сертифицированы они были на меньший класс. Так что тут, можно сказать, существенный шаг вперед (а то и два).
На сертифицированный ALT Linux Server 4.0 сертификат закончился осенью, а вот на Desktop действует до июня.
Спасибо! Действительно, это очень долго и очень-очень затратно. А уж моральные затраты вряд ли кто-то возьмется подсчитать.
На VirtualBox ставлю любую ОС, файловую систему шифрую и тайком играю в косынку. *Ninja*
Я так понимаю, скачать и установить АльтЛинукс не прокатит?
Нужно устанавливать с сертифицированного носителя?
А установить с сертифицированного носителя в 2-3 фирмы можно?
Нужно устанавливать с сертифицированного носителя?
А установить с сертифицированного носителя в 2-3 фирмы можно?
Физический сертификат же будет только в одной. А вообще да, интересный вопрос — если в случае с виндой это будет нарушением EULA, то вот с GPL и т. п. не так всё просто.
Со стороны лицензии никаких ограничений нет, так как лицензия свободная. Но сертификация не имеет отношения к лицензии. При эксплуатации безопасных систем нельзя не учитывать человеческий фактор, именно поэтому есть закон о персональных данных и именно поэтому он не имеет отношения к лецензии самого софта. Вы можете использовать его согласно лицензии, но соответствовать заявленным в сертификате классам он соответствовать не будет.
Со стороны Альт Линукс никаких ограничений нет, вы можете устанавливать скаченную версию на неограниченное кол-во компов. А со стороны ФСТЭКа есть ограничения. На несколько организаций с одного комплекта установить нельзя, так как нужно заполнять бланк-формуляр, вносить номера носителей, писать ответственного и т.д. Если у одной фирмы несколько подразделений, рекомендуется для каждого иметь отдельный сертифицированный комплект. А техподдержка на каждый компьютер нужна, именно для своевременного получения сертифицированных обновлений и поддержание системы в актуальном состоянии.
20 000 за серверную версию!
Не так уж и много но неприятно.
А что нить подешевле, сертифицированное есть?
Не так уж и много но неприятно.
А что нить подешевле, сертифицированное есть?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Дистрибутив Альт Линукс получил сертификат ФСТЭК