Нет, выбираешь юзера, а оно из профиля юзера подтягивает его картинки и уже с ними сравнивает. Потому, кстати, и не работает с зашифрованными профилями.
Насколько я сталкиваюсь с подобными вещами, эти требования по лицензированию актуальны при работе с гос структурами. Т.е. там да — для разработки крипты, которая будет использоваться для защиты гос информации, необходимы лицензии. Потому как там нужна сертификация системы в целом, чего нельзя сделать без лицензии.
Можно ли делать софт с шифрованием для обычных пользователей без того, чтобы у спецслужб были «мастер-ключи»?
Наверное можно спросить Евгения Рошала. (RAR)
Опять же никто не мешает делать софт, к которому подключаются открытые библиотеки криптования. Как опция.
Никто и не сомневается. Более того, даже 3Д камеры не спасут от 3Д принтеров.
А вот прикрученная как дополнительная степень защиты к паролю и карточке/ключу — уже пойдёт на пользу. Тем более жизнь пользователю особо не усложняет, морочиться со сменой паролей не требует.
Кстати, стоило бы указать критерии оптимальности. Тут как минимум три варианта есть — «для команды», «для руководства» и «для стратегических целей бизнеса».
Для простоты возьмём вариант «для руководства».
И ответ будет сильно зависеть от типа проекта.
Т.е. там где программирование поставлено на поток и уровень инноваций минимален, то однозначно менеджер. Для него программисты — заменяемые элементы конвеера, которые он наиболее эффективным образом использует.
А там где создается что-то качественно новое, или если компания находится на начальных стадиях развития и до «потока» еще не добралась, то, конечно, лучше программист. Который и идею сотрудника оценит, и ошибку поможет исправить. Тут стоимость замены разработчика слишком высокая, чтобы относиться к нему как к элементу конвеера.
К сожалению (а в целом к счастью, конечно) я не безопасник, а сетевик. Т.е. с задачами защиты информации сталкиваюсь в пределах своих проектов и краем уха цепляю информацию от разработчиков (компания давно и много разрабатіввает для гос сектора). Да и сам углублялся в тему крайний раз лет пять назад. Стараемся же, чтобы классификация информации в наших проектах позволяла обходиться без построения КСЗИ (Комплексная Система Защиты Информации).
Потому могу дать весьма поверхностный ответ, выделив только пару наиболее интересных моментов. Надеюсь что те, кто в тебе разбираются лучше, меня поправят.
«Г» в данном контексте сокращение от «гарантии». Есть целый набор критериев и уровни выполнения требований. Для каждого уровня гарантий есть минимальные уровни соответствия требованиям. К примеру, одним из принципиальных требований к системам, которые обрабатывают информацию, является предоставление исходных кодов.
К системам шифрования это требование тоже относится, что заметно сужает диапазон возможных разработчиков. Ну и там масса достаточно жестких требований по работе с ключами и сертификами, которые несравнимы с обычными системами построения VPN в коммерческом секторе. И, как я уже говорил, шифратор, сертифицированный для передачи ДСК информации, в принципе не пропускает информацию без шифрования, т.е. разделить в настройках «сюда — в туннель ходи, а сюда — в Инет» нельзя архитектурно.
По идее актуальный документ по уровням гарантий (на украинском, естественно), лежит тут. Но раскурить такой документ может только человек, которому реально надо. Обычному человеку достаточно открыть, пролистать и понять что «данунах» :).
В украинском законодательстве (полагаю, что в российском аналогичко) сеть, в которой циркулирует информация уровня ДСП и выше, должна быть «гальванически» отделена от сетей общего пользования. Т.е. в теории даже общих розеток быть не должно.
Если же делается распределенная сеть, то, единственные возможные подключения к общей сети — сертифицированные шифраторы отечественного производства, которые в принципе возволяют передавать информацию только между такими же шифраторами в другие сегменты закрытой сети и архитектурно не позволяют выпускать информацию в незашифрованном виде.
Т.е. «закрытые» сети закрываются максимум на третьем уровне. И из закрытой сети «уровня Г2» ты в принципе в Инет не попадешь. И это реально делают вплоть до двух непересекающихся сетей в здании и 2-х компов на рабочем столе и/или KVM переключателей. В отдельных случаях «закрытую» сеть делают на оптике с заводом оптики в кабинеты. Сам такую видел в министерстве среднего уровня.
Сколько гемора это требование создает и насколько это удорожает проекты — разговор отдельный. Зная уровень компетенции ИТ специалистов в гос органах, возможно это реально единственный способ исключить создания «проходного двора».
Смущает другое.
Неужто штатовцы только до этого додумались?
Только в том случае, если на него ещё нет ответов.
Если же есть, то иметь возможность «скрыть» свой под кнопку. Т.е. чтобы любой мог его увидеть, но только если захочет специально.
лить чай на спинусыпать соль на рану не следовало.Что выгодно отличает данный тип от проверки отпечатков пальцев.
Можно ли делать софт с шифрованием для обычных пользователей без того, чтобы у спецслужб были «мастер-ключи»?
Наверное можно спросить Евгения Рошала. (RAR)
Опять же никто не мешает делать софт, к которому подключаются открытые библиотеки криптования. Как опция.
А вот прикрученная как дополнительная степень защиты к паролю и карточке/ключу — уже пойдёт на пользу. Тем более жизнь пользователю особо не усложняет, морочиться со сменой паролей не требует.
А вот когда станет…
Для простоты возьмём вариант «для руководства».
И ответ будет сильно зависеть от типа проекта.
Т.е. там где программирование поставлено на поток и уровень инноваций минимален, то однозначно менеджер. Для него программисты — заменяемые элементы конвеера, которые он наиболее эффективным образом использует.
А там где создается что-то качественно новое, или если компания находится на начальных стадиях развития и до «потока» еще не добралась, то, конечно, лучше программист. Который и идею сотрудника оценит, и ошибку поможет исправить. Тут стоимость замены разработчика слишком высокая, чтобы относиться к нему как к элементу конвеера.
Потому могу дать весьма поверхностный ответ, выделив только пару наиболее интересных моментов. Надеюсь что те, кто в тебе разбираются лучше, меня поправят.
«Г» в данном контексте сокращение от «гарантии». Есть целый набор критериев и уровни выполнения требований. Для каждого уровня гарантий есть минимальные уровни соответствия требованиям. К примеру, одним из принципиальных требований к системам, которые обрабатывают информацию, является предоставление исходных кодов.
К системам шифрования это требование тоже относится, что заметно сужает диапазон возможных разработчиков. Ну и там масса достаточно жестких требований по работе с ключами и сертификами, которые несравнимы с обычными системами построения VPN в коммерческом секторе. И, как я уже говорил, шифратор, сертифицированный для передачи ДСК информации, в принципе не пропускает информацию без шифрования, т.е. разделить в настройках «сюда — в туннель ходи, а сюда — в Инет» нельзя архитектурно.
По идее актуальный документ по уровням гарантий (на украинском, естественно), лежит тут. Но раскурить такой документ может только человек, которому реально надо. Обычному человеку достаточно открыть, пролистать и понять что «данунах» :).
В украинском законодательстве (полагаю, что в российском аналогичко) сеть, в которой циркулирует информация уровня ДСП и выше, должна быть «гальванически» отделена от сетей общего пользования. Т.е. в теории даже общих розеток быть не должно.
Если же делается распределенная сеть, то, единственные возможные подключения к общей сети — сертифицированные шифраторы отечественного производства, которые в принципе возволяют передавать информацию только между такими же шифраторами в другие сегменты закрытой сети и архитектурно не позволяют выпускать информацию в незашифрованном виде.
Т.е. «закрытые» сети закрываются максимум на третьем уровне. И из закрытой сети «уровня Г2» ты в принципе в Инет не попадешь. И это реально делают вплоть до двух непересекающихся сетей в здании и 2-х компов на рабочем столе и/или KVM переключателей. В отдельных случаях «закрытую» сеть делают на оптике с заводом оптики в кабинеты. Сам такую видел в министерстве среднего уровня.
Сколько гемора это требование создает и насколько это удорожает проекты — разговор отдельный. Зная уровень компетенции ИТ специалистов в гос органах, возможно это реально единственный способ исключить создания «проходного двора».
Смущает другое.
Неужто штатовцы только до этого додумались?
Но разве их как охотничье оружие не нужно регистрировать? По крайней мере если говорить о сколько либо серьезной мощности, а не игрушках.
Если же есть, то иметь возможность «скрыть» свой под кнопку. Т.е. чтобы любой мог его увидеть, но только если захочет специально.