Pull to refresh
3
0
Александр @asasasdd

User

Send message
Но вам же не закрыли ИП из-за этого, да? Не было же уголовного разбирательства по факту мошенничества? Сдали исправленный отчёт и работаете как работали, налоговая палки в колёса не ставит в работе.
Таких ситуаций много.
1. Коллега не знал, что на его жену бабушка оформила долю в квартире. Жена и сама забыла, это было лет 15 назад или даже больше. В определённый момент времени совершенно случайно бабушка напомнила об этом и коллега указал это в декларации. Итог: 1.5 года разбирательств, служебных проверок, сбора миллиона справок, беременная третьим ребёнком жена моталась по Москве и собирала справки по своей линии.
2. Коллега не внёс доход, который банк начислял банк на остаток по карте. Около 10 рублей, начисленных за год. Итог как выше.
3. Коллега не указал доход, получаемый от сдачи квартиры в аренду, 25 тыс/мес. Сам виноват, конечно, но умысла никакого не было. Можно было решить вопрос просто в рамках корректирующей декларации, но кадровое подразделение решило зарубить повышение и запретить кадровые перемещения для него на 2 года.
Подобные ситуации можно долго перечислять, но они работают не для всех, если посмотреть по сторонам. Есть подразделение, в котором сотрудники, проработавшие год-два, покупают такие машины, которые не могут позволить себе остальные сотрудники организации. И растут кадрово из этого подразделения активнее, чем из других. При том, что зп у всех по тарифной сетке.
Вся эта борьба с коррупцией нужна только для того, чтобы дать кадровым подразделениям рычаг власти над другими и распоряжаются этим рычагом они по своему усмотрению в каких-то своих целях.
Некорректно поданная декларация может являться основанием к увольнению, но не гарантировать этого. Увольнять всех подряд с неправильными декларациями никто не будет, т.к. элементарно некому будет работать. Чтобы делать нормально и самостоятельно свою работу — нужно несколько лет отработать, набраться опыта, а очередь к нам не стоит + нет вакантных должностей, чтобы на них можно было нанимать людей, которых готовить на замену оступившимся.
Ходят устойчивые слухи, что там внутри реактос…
Тут есть представители организации, которая сертификацию проводят. Задавайте npoechelon любые вопросы.
В соответствии с п. 2.1 ПП РФ 1236 от 16.11.2015 в ред. ПП РФ 1594 от 20.12.2017 запрещается приобретение ПЭВМ (как рабочих мест, так и серверов — не имеет значения), укомплектованных иностранным ПО.
Так что, на примере пункта «Системные блоки (обычные РМ)», рабочие места можно закупать или без ОС вообще, или с «отечественным» линуксом. С серверами и всем прочим по аналогии.
Теперь осталось сертифицировать всё сделанное, т.к. там где используется Эльбрус, как правило используется только сертифицированное ПО.
Интересно, если Intel осознала недостатки архитектуры VLIW и перестала выпускать Itanium, то перестанет ли МЦСТ выпускать Эльбрусы?
А в РФ самый перспективный дистрибутив в 2018 году видимо Astra Linux, в свете регулярно появляющихся новостей о переходе гос. организаций на неё. Тоже deb-based.
Ну вот не знаю. Те мнения, которые я слышал от различных разработчиков, пока подтверждают концепцию Лютикова. Противоположное мнение встречают впервые.

Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?

Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.
Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс

Это не отменяет того факта, что обновление не возникнет из ничего без инициативы производителя ПО. Позиция ФСТЭК сейчас такая, что обновление, направленное на устранение уязвимостей можно применять сразу после выпуска, до завершения процедуры инспекционного контроля. Разве не так? Или Лютиков, публично оглашающий данную позицию, вводит отрасль в заблуждение?

Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят

Само собой. И так везде, не только в Ведомственных системах сертификации, и не только в РФ. Можно подумать, что RedHat после сертификации RHEL на Common Criteria не досертифицирует обновления или новые версии.
Мы сейчас про какую систему сертификации говорим? Например, ФСТЭК сейчас нормативно закрепил обязательность выпуска обновлений, определил процедуру использования обновления, которые ещё не прошли инспекционный контроль и т.д. Ведомство ведёт активную работу по принуждению (термин грубый, но реальность именно такая) производителей ПО к актуализации сертифицированных версий ПО.
Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?

Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.

Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?
Зачем писать безграмотные новости на тему, в которой автор не разбирается?

По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании.

По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.

В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок.

Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.

В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.

От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.

Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.

npoechelon, у вас там ещё никого не посадили за это?
Странная позиция у комментаторов — на 100% негативная.
Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
И ещё. Сертификация != поиск уязвимостей и т.д.
На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).
Это же Astra Linux Special Edition, судя по синей звёздочке на стартовом меню. В Common Edition звёздочка красного цвета.
Про 5000 написано в информации о компании справа от статьи.
Численность свыше 5000 человек


А разве в вашей компании работает не свыше 9000 человек?
Отсутствие в составе сертифицированного дистрибутива ОС средств разработки и отладки является одним из требований при прохождении сертификации. Перекомпилировать ядро сертифицированного дистрибутива = выпустить новый дистрибутив с проведением его повторной сертификации во всех системах сертификации. Поэтому вам и объявили соответствующую стоимость.

Если в качестве платформы для своего ПО вы использовали Astra Linux SE, то скорее всего вам нужно было разработать решение, которое должно было пройти сертификацию. Для осуществления данной деятельности у вашей компании должна быть лицензия (а может даже и не одна), выданная одним из регуляторов. Волей-неволей, но в вашей компании должен быть человек, который знает юридические подробности и тонкости сертификации и который должен участвовать при построении процесса разработки таким образом, чтобы данный процесс завершился успешным результатом — сертификатом.
npoechelon, нет никакого заговора, но есть безразличие и безответственность.
Вас оправдывает то, что аналогичные решения написаны такими же безразличными к результату разработчиками? Да и какие это решения, Аист-С? Все, кто работает в отрасли сертификации, прекрасно знает как работает АК-ВС и что большая удача найти хоть какие-то исходники, на которых он отработает без единого сбоя.

АК-ВС за последние годы стал стандартом де-факто в отрасли сертификации, новые лаборатории покупают у вас продукт, отправляют в ваш учебный центр своих сотрудников, которые после прохождения обучения начинают считают, что раз средство разрешено к применению ФСТЭКом, то это автоматически решает все проблемы. Старый добрый принцип — есть бумажка, значит всё защищено и надёжно. В итоге у среднего специалиста в отрасли сертификации долгие годы было убеждение, что надо просто запустить АК-ВС, скормить ему исходники, сгенерировать протоколы и отправить их для проведения экспертизы, где в их содержимое редко кто будет вчитываться на предмет корректности проведённых работы. Вот и вся работа, вся сертификация на НДВ.

АК-ВС 2 пару лет представлен на рынке, но при этом работает также некорректно (но чуть лучше, чем АК-ВС). При этом, по старой доброй традиции, это никому не мешает: ни вам — его продавать, ни регуляторам — его разрешать к применению, ни лабораториям — его непосредственно применять.

Первая редакция ГОСТ представляла собой РД НДВ в новой обёртке. Утверждённая редакция является просто учётом тех замечаний, о которых вы упомянули. Если я правильно помню (это легко уточнить), то те виды исследований, которые вы перечислили, появились именно по результатам устранения замечаний.

npoechelon, я неоднократно пробовал в деле и АК-ВС, и АК-ВС 2. Вы думаете, что у меня ещё осталась надежда, что у вашей компании есть мотивация делать качественные продукты? Единственная ваша цель — не допустить распространения в отрасли сертификации PVS-Studio и средств анализа путём формального выполнения требования использования статического анализа. В качестве вы не заинтересованы.
Результат разработки AppChecker довольно предсказуем.
Компания Эшелон специализируется на проведении работ в системах сертификации ФСТЭК, МО, ФСБ. Для проведения этих работ много лет назад разработано средство анализа АК-ВС, осуществляющее ряд исследований по руководящему документу ФСТЭК по контролю наличия недекларированных возможностей. Те, кто с этим средством имел несчастье соприкасаться, знаком с его качеством реализации и функционирования.
В прошлом году был утверждён ГОСТ, разработанный компанией Эшелон, определяющий процесс безопасной разработки ПО. ГОСТ будет обязателен для применения компаниями, которые работают на рынке сертифицируемых решений. Это светлое будущее различных систем сертификации, в котором декларируется необходимость поиска программных дефектов (уязвимостей). Вот для этого и разрабатывается AppChecker. Ни разработчикам, ни потребителям, ни исследователям, ни экспертам не интересно качество реализации и функционирования средства анализа, всем нужна заветная бумажка — сертификат. Есть бумажка — ПО надёжно и безопасно.
1

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity