Comments 88
Молодцы!
+3
Было бы интересно поподробнее узнать про саму сертификацию, в чем она состоит, для чего она нужна, чем отличается от аналогов и тп. А за топик спасибо.
+5
Существуют сферы деятельности которые запрещают использовать не сертифицированное ПО. К примеру, любая гос структура. Для частных во многом она носит рекомендательный характер. Сейчас из-за закона о персональных данных эта штука встала особо остро. Т.к. компании работающие в этой сфере просто не успевают обрабатывать запросы. Лично мне кажется это сделано для:
— Срубить денег не напрягаясь
— Уйти от ответственности, ведь если за бугром не будешь защищать данные и их стащат, то отвечает контора их охранявшая, а у нас получится, она скажет: А у нас всё сертифицировано, так что вмилицию полицию. А там если не найдут то пожмут плечами. Найдут, впилят условный сроки и попросят прощения.
Плюс любая контора проводящая аудит, начнёт требовать сертификацию.
— Срубить денег не напрягаясь
— Уйти от ответственности, ведь если за бугром не будешь защищать данные и их стащат, то отвечает контора их охранявшая, а у нас получится, она скажет: А у нас всё сертифицировано, так что в
Плюс любая контора проводящая аудит, начнёт требовать сертификацию.
+2
Нужна она, как уже писалось выше (и по ссылкам) для всех кто обрабатывает персональные данные (тот самый ФЗ-152). Это и мед. учреждения, страховые конторы, банки, да почти все крупные предприятия! И это все до 1 июля нужно сделать. Отдельно это гос. конторы работающие с секреткой.
+1
Про сертификацию можно у самих сертификаторщиков почитать www.npo-echelon.ru/index.php, замечу — это один из сертифицирующих центров. Он АстраЛинукс сертифицировал.
-1
Но Альт Линукс сертифицирован не здесь.
0
А я этого и не утверждал…
0
а где? :)
0
Версия платная? или бесплатная? Для коммерческого использования.
+1
4.0 выходила как платная, в коробках и с «поддержкой». Чуть позже появилась сертифицированная (с сертификатом и специальной наклейкой), которая стоила б́ольших денег. Т.е. одновременно можно было купить просто коробку с сертификатом ФСТЭК. Так же был вариант скачать бесплатно. Думаю, что с шестой версией будет тоже самое. Но судя по странице продукта, пока всё не так.
0
я правильно понимаю, что кроме сертифицированных обновлений на этот сервер накатывать ничего нельзя?
+14
Хм… ИМХО, но все это — еще одна посадка на баки.
+3
Вот меня вопрос мучает. Если я пере соберу ядро альт линукса, сертификат ФСТЭК на него уже не будет действовать?
+3
Насколько мне известно, даже если вы обновите калькулятор gcalctool до последней версии, придется получать новый сертификат.
+8
Разве сертификат не дает право обновлять ПО с официальных репозиториев?
0
Вот и я о том же. Что за линукс, который нельзя тюнинговать?!
+2
UFO just landed and posted this here
> Firefox 3.6.12
Последняя версия с секьюрити-фиксами это 3.6.16. Так что гарантированно сертифицированный дистр с гарантированными дырами. Разве что разработчики дистра бекпортировали все патчи на 3.6.12 (в чём я сомневаюсь, дебиановцы от такого способа откалазись — говорят слишком сложно).
Последняя версия с секьюрити-фиксами это 3.6.16. Так что гарантированно сертифицированный дистр с гарантированными дырами. Разве что разработчики дистра бекпортировали все патчи на 3.6.12 (в чём я сомневаюсь, дебиановцы от такого способа откалазись — говорят слишком сложно).
+1
А какая разница сколько дыр в ПО если сертифицированные системы, как правило, имеют замкнутую программную среду без доступа в не сертифицированную сеть.
0
UFO just landed and posted this here
ну как-то так
+1
А по сути — угрозы безопасности пока нет. Еще раз повторюсь, что речь идет не о системе обработки данных, а об операционной системе. Нет данных — нет угрозы. если система состоит из 1 человека и 1 компьютера, запертого на глубине 10000м без возможности коммуникации, то можно хоть какие секреты в такой системе обрабатывать.
0
А тогда зачем сертификация вообще?
+1
Да ладно без доступа. Сколько персональных данных хранится и обрабатывается на различных сайтах?
+1
Вот как раз в замкнутой среде сертификация нужна реже.
+1
Тюнинговать его можно! Сертификат от этого не теряется. Понятно, что если вы Альт на BSD поменяете, то всё пропало :) Но если не менять базовую систему (ключевые компоненты, систему мандатного доступа), то на аттестацию это не влияет. Посмотрите на сайте ФСТЭКа документы, они большие, но не слишком замутные.
+3
Да, при получении сертификата обновляться нельзя. При обнаружении дыры, запускается большая бюрократическая машина.
+2
> Насколько мне известно, даже если вы обновите калькулятор gcalctool до последней версии, придется получать новый сертификат.
Не придется! :) На сколько я понимаю, мелкий софт или там браузер можно обновить спокойно. Но лучше уточнить у тех, кто вас будет проверять и/или аттестовывать. Кстати, будут выходить сертифицированные обновления.
Не придется! :) На сколько я понимаю, мелкий софт или там браузер можно обновить спокойно. Но лучше уточнить у тех, кто вас будет проверять и/или аттестовывать. Кстати, будут выходить сертифицированные обновления.
0
Куда уж там RHEL и SLES до Альт Линукса и сертификатов ФСТЭК. Срочно переводим сервера на сертифицированный Linux дабы не нарушить закон «О персональных данных».
+6
UFO just landed and posted this here
Могут, если используются в сертифицированных автоматизированных системах.
0
RHEL давно уже сертифицирован не хуже альтов.
0
К сожалению, сертификация конкретной конфигурации операционной системы не избавляет от сертификации автоматизированной системы в целом — с этим проблем существенно больше. Хотя конечно приятно, что дистрибутив "может быть использован для разработки...".
+4
Молодцы. Долго и усердно его пилят, с поддержкой тоже всё отлично. Давно пора.
0
Цена впечатляет…
+1
Я тоже удивлен.
Альт Линукс 5.0 Ковчег (Сервер + Десктоп) 1400руб
Альт Линукс СПТ 6.0 Рабочая станция Сертификат ФСТЭК 7000руб. + Альт Линукс СПТ 6.0 Сервер Сертификат ФСТЭК 20000 руб.
Итого 25600 руб. за бумажку с печатью…
Что-то нужно менять в системе сертификации, раз столько денег на нее уходит…
Альт Линукс 5.0 Ковчег (Сервер + Десктоп) 1400руб
Альт Линукс СПТ 6.0 Рабочая станция Сертификат ФСТЭК 7000руб. + Альт Линукс СПТ 6.0 Сервер Сертификат ФСТЭК 20000 руб.
Итого 25600 руб. за бумажку с печатью…
Что-то нужно менять в системе сертификации, раз столько денег на нее уходит…
+3
На самом деле проверить много гигабайт кода на «недекларированные возможности» это очень, очень дорого.
+3
Практика показывает, что эта проверка ничего не означает. В проверенных продуктах есть дырки. сертификация — формальность, чтобы все было по закону. А по жизни, по моему, последняя стабильная версия популярной во всем мире open source системы, за которой следят и тестируют миллионы людей более безопасна, нежили старая конкретная сборка, которую проверила узкая группа специалистов.
+6
Вы просто не понимаете цели сертификации, лицензирования и т.д.
Их цель — не пофиксить баги, не закрыть дырки, не решить какие-то технические проблемы и не обеспечить безопасность.
Любой сертификат — это такая бумажка, прикрывающая сразу целый ряд чиновничьих и манагерских задниц.
Случись чего — куча народа сможет заявить, что они не при чем, что у них сертификат, который дает им право не делать и не думать. Сертификат вроде как снимает с них ответственность. При этом на других — тех кто сертификат выдал — в большинстве случаев ничего не вешается, точнее вешается, но на деле они мастерски уворачиваются.
Сертификация — это такой ритуал, позволяющий сидеть ровными попами на теплых местах, пилить бюджеты, получать зарплаты и чем-то «управлять», но при этом ни за что не отвечать.
И пока кардинально не изменится система управления человечеством — ничего не изменится.
Их цель — не пофиксить баги, не закрыть дырки, не решить какие-то технические проблемы и не обеспечить безопасность.
Любой сертификат — это такая бумажка, прикрывающая сразу целый ряд чиновничьих и манагерских задниц.
Случись чего — куча народа сможет заявить, что они не при чем, что у них сертификат, который дает им право не делать и не думать. Сертификат вроде как снимает с них ответственность. При этом на других — тех кто сертификат выдал — в большинстве случаев ничего не вешается, точнее вешается, но на деле они мастерски уворачиваются.
Сертификация — это такой ритуал, позволяющий сидеть ровными попами на теплых местах, пилить бюджеты, получать зарплаты и чем-то «управлять», но при этом ни за что не отвечать.
И пока кардинально не изменится система управления человечеством — ничего не изменится.
+27
Согласен с вами полностью. Просто обидно что все так…
+1
+100500
Но, имхо, просто не надо принимать законы, от которых ни какого толку, а только производство кучи макулатуры ну и обеспечения нескольких дополнительных ставок в гос. структурах — куда уж без этого…
Ах да! И быстрее, быстрее пилить бюджет, пока ни кто не очухался — хотя кто очухается? Сами пишем закон — сами пилим деньги с него… Россия, однако!
Но, имхо, просто не надо принимать законы, от которых ни какого толку, а только производство кучи макулатуры ну и обеспечения нескольких дополнительных ставок в гос. структурах — куда уж без этого…
Ах да! И быстрее, быстрее пилить бюджет, пока ни кто не очухался — хотя кто очухается? Сами пишем закон — сами пилим деньги с него… Россия, однако!
+1
В рамках сегодняшней структуры власти (римское право, три ветви и все такое) одним законом ничего сделать невозможно. Сертификация на этапе подготовки к ней заставляет сделать хоть что-то, хотя бы прикрывать совсем уж явные косяки и не совершать совсем уж глупые ошибки. Вариант «подогнать проверяющему», правда, тоже имеется, но этот вариант несистемный=).
0
Хочется ошибаться, но, по-моему, шансы получить заветный сертификат куда больше, если отдать работы на аутсорс «правильной» фирме, независимо от того, что сделано будет реально. Поставят на рабочую станцию под линукс сертифицированный антивирус (положено!), а возможность логина под рутом не отключат.
0
Зачем под линукс антивирус? Где такое написано!? Там вроде такая фраза, что требуется установка антивируса бла-бла-бла, за исключением операционных систем, где установка антивируса не повышает защиту. Или как-то так.
0
вот не надо только про «смену системы управления человечеством» — лучше уж так как есть чем в «пластиковые гробы» (см. «Гробы для американцев»)
+1
Было бы классно, если при проверке они фиксили все баги.
+1
Чет я тогда не понимаю — лицензия на сертифицированную винду стоит примерно столько же. Мне кажется, что с такими ценниками теряется основное конкурентное преимущество линукса.
0
Ситуация 1. У вас был сайт на LAMP. Бац — ВНЕЗАПНО появился закон про персональные данные, который вас касается. У вас варианты — переезжать на винду или на альт линукс.
Ситуация 2. У вас свой сервер за несколько килобаксов, возможно не один. На нем крутится сайт, на разработку и доработку которого ушло несколько человеко-лет, по цене в десятки килобаксов за каждый человеко-год. Плюс-минус 20к руб за ОС в этом случае погоды не делает.
Собственно редхат и прочие там каноникал именно за счет ситуации 2 и живут.
Ситуация 2. У вас свой сервер за несколько килобаксов, возможно не один. На нем крутится сайт, на разработку и доработку которого ушло несколько человеко-лет, по цене в десятки килобаксов за каждый человеко-год. Плюс-минус 20к руб за ОС в этом случае погоды не делает.
Собственно редхат и прочие там каноникал именно за счет ситуации 2 и живут.
+2
Windows сертифицирована на класс ниже — НСД только 5 (и, соответственно, 1Г и и персданные всего лишь до К2). Я лично по-любому Linux выберу сертифицированный, а не винду :) Потом сертифицированный windows server будет существенно дороже (там дополнительный ценник за ФСТЭК), да ещё за каждое подключение нужно заплатить. А тут нет ограничений по количеству пользователей на сервере.
+5
А если найдут мегадыру в каком-нибудь приложении (через которую можно root доступ получить) то как тогда быть? =)
А если стоит сертифицированный Linux на сервере и этот сервер взломают через эту дыру? То кто крайний?
А если стоит сертифицированный Linux на сервере и этот сервер взломают через эту дыру? То кто крайний?
0
Товарищи! Я тут начитал кучу комментариев на тему сертификации, и хочу внести свои пять копеек:
1. Зачем все нужно — как правильно заметил hoxnox, для создания «сертифицированных автоматизированных системах» и причем в государственных структурах — типа МинОбороны, т.е. без подобного рода сертификатов тебе скажут в 100% случаев — ты чего мальчик, у нас Венда есть, хотя ее тоже можно сертифицировать.
2. Я искренне рад за АльтЛинукс и то что им удалось пройти ОЧЕНЬ нелегкий и затратный путь сертификации, времени это должно было занять около 8-12 месяцев, денег — крайне неприличное количество, и ту цену, что оны выкатили за лицензию — это вполне по божески.
3. Фстек, это еще не самая жестокая сертификация, есть по проще — МВД, МинСвязи, и есть по серьезней ФСБ(8 управление), также все делится на уровни доступа — данный сертификат например не позволит работать с данными, представляющими гос тайну или СС, для этого нужен минимум 1 НДВ, и 2 НСД.
4. При сертификации у всех пакетов фиксируется контрольная сумма, и любое ее изменение влечет потерю лицензии, исключение только конфигурационные файлы и другие изменяемые файлы.
5. Ярким представителем «еще более сертифицированного» дистрибутива является ASTRA Linux.
1. Зачем все нужно — как правильно заметил hoxnox, для создания «сертифицированных автоматизированных системах» и причем в государственных структурах — типа МинОбороны, т.е. без подобного рода сертификатов тебе скажут в 100% случаев — ты чего мальчик, у нас Венда есть, хотя ее тоже можно сертифицировать.
2. Я искренне рад за АльтЛинукс и то что им удалось пройти ОЧЕНЬ нелегкий и затратный путь сертификации, времени это должно было занять около 8-12 месяцев, денег — крайне неприличное количество, и ту цену, что оны выкатили за лицензию — это вполне по божески.
3. Фстек, это еще не самая жестокая сертификация, есть по проще — МВД, МинСвязи, и есть по серьезней ФСБ(8 управление), также все делится на уровни доступа — данный сертификат например не позволит работать с данными, представляющими гос тайну или СС, для этого нужен минимум 1 НДВ, и 2 НСД.
4. При сертификации у всех пакетов фиксируется контрольная сумма, и любое ее изменение влечет потерю лицензии, исключение только конфигурационные файлы и другие изменяемые файлы.
5. Ярким представителем «еще более сертифицированного» дистрибутива является ASTRA Linux.
+4
У альта был сертифицирован еще очень старый альт-линукс 4, так что им невпервой.
Причем сертификат на альт4 заканчивался, если мне не изменяет мой склероз, осенью 2010, и получалась временная дыра, когда сертифицированного линукса не было. Астра все же очень специфический продукт.
Причем сертификат на альт4 заканчивался, если мне не изменяет мой склероз, осенью 2010, и получалась временная дыра, когда сертифицированного линукса не было. Астра все же очень специфический продукт.
0
Астра по составу софта плюс минус, сопоставима с сабжем, по применяемости — вопрос, к РусБитеху, но я видел огромное количество инсталляций астры, и мое мнение АльтЛинукс хорошо, только не понятна ниша — для СС нужно по серьезнее, а для просто конфедициалки — Венда + НСД нахлобучка… типа SecureNet
+1
Самым первым в 2002 был сертифицирован ещё Альт Линукс Мастер 2.0 (под именем Утес-К). Продавался в таких увесистых черных чемоданчиках.
На Альт Линукс 4.0 Сервер закончился в прошлом году, на Альт Линукс 4.0 Десктоп заканчивается в июле. И сертифицированы они были на меньший класс. Так что тут, можно сказать, существенный шаг вперед (а то и два).
На Альт Линукс 4.0 Сервер закончился в прошлом году, на Альт Линукс 4.0 Десктоп заканчивается в июле. И сертифицированы они были на меньший класс. Так что тут, можно сказать, существенный шаг вперед (а то и два).
+1
На сертифицированный ALT Linux Server 4.0 сертификат закончился осенью, а вот на Desktop действует до июня.
+1
Спасибо! Действительно, это очень долго и очень-очень затратно. А уж моральные затраты вряд ли кто-то возьмется подсчитать.
0
На VirtualBox ставлю любую ОС, файловую систему шифрую и тайком играю в косынку. *Ninja*
+1
Я так понимаю, скачать и установить АльтЛинукс не прокатит?
Нужно устанавливать с сертифицированного носителя?
А установить с сертифицированного носителя в 2-3 фирмы можно?
Нужно устанавливать с сертифицированного носителя?
А установить с сертифицированного носителя в 2-3 фирмы можно?
0
Физический сертификат же будет только в одной. А вообще да, интересный вопрос — если в случае с виндой это будет нарушением EULA, то вот с GPL и т. п. не так всё просто.
0
Со стороны лицензии никаких ограничений нет, так как лицензия свободная. Но сертификация не имеет отношения к лицензии. При эксплуатации безопасных систем нельзя не учитывать человеческий фактор, именно поэтому есть закон о персональных данных и именно поэтому он не имеет отношения к лецензии самого софта. Вы можете использовать его согласно лицензии, но соответствовать заявленным в сертификате классам он соответствовать не будет.
+1
Со стороны Альт Линукс никаких ограничений нет, вы можете устанавливать скаченную версию на неограниченное кол-во компов. А со стороны ФСТЭКа есть ограничения. На несколько организаций с одного комплекта установить нельзя, так как нужно заполнять бланк-формуляр, вносить номера носителей, писать ответственного и т.д. Если у одной фирмы несколько подразделений, рекомендуется для каждого иметь отдельный сертифицированный комплект. А техподдержка на каждый компьютер нужна, именно для своевременного получения сертифицированных обновлений и поддержание системы в актуальном состоянии.
+1
20 000 за серверную версию!
Не так уж и много но неприятно.
А что нить подешевле, сертифицированное есть?
Не так уж и много но неприятно.
А что нить подешевле, сертифицированное есть?
0
Sign up to leave a comment.
Дистрибутив Альт Линукс получил сертификат ФСТЭК