[ Обновленные темы · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Модератор форума: Ghost  
Электронное правительство и документооборот в Коми
asdfghjklДата: Вторник, 27.04.2010, 20:07 | Сообщение # 346
Майор
Группа: Проверенные
Сообщений: 81
Репутация: 9
Статус: Offline
Quote (Expert)
Вообще, по всей видимости, сертификат ФСТЭК на отсутствие недекларированных возможностей, как минимум, должен быть.

Неправда. Сертификации подлежат только СЗИ или ПО, которое так или иначе выполняет функции СЗИ. И то сертификация добровольная, т.е. если я сделаю в программу вход по паролю, то это не обязывает меня проводить ее сертификацию.

Quote (Expert)
Мы даже от сыктывкарского частного предпринимателя Гуляева (чья программа в СыктГУ считает зарплату) будем требовать такой сертификат ближе к концу года, когда полностью вступит в силу закон о защите персональных данных (с 01.01.2011). Кстати, мы ему еще осенью 2009 года письма написали, но он пока молчит как партизан. Кстати, тут даже тему инициировал, но она, правда, так и осталась без внимания. Осенью возобновим переписку.

Ну и зря. Никакого сертификата он естественно Вам не даст, поскольку это ОЧЕНЬ ДОРОГО (несколько сот тысяч рублей), долго (6-18 месяцев) и муторно (нужно сначала лицензию ФСТЭКа на разработку СЗИ получить), а к тому же это делает невозможным быструю разработку, т.к. любое изменение файла, входящего в сертифцированный дистрибутив - и все! Сертификат можно отправлять на помойку. К тому же сертификация осуществляется треми схемами - одного экземпляра, партии (несколько экземпляров) и производства. В первых двух случаях на выходе получается n (где n>=1) сертифицированных дистрибутивов с наклейками. Никакие другие дистрибутивы, в том числе копии с них, сертифицированными не являются. Чтобы получить еще сертифицированные дистрибутивы надо заново проводить сертификацию (хотя это наверное попроще и побыстрее, но бабосы все равно надо платить). 3 схема - сертификация производства потребует еще больших затрат, поскольку надо будет выполнить все требования к ПРОИЗВОДСТВУ ДИСКОВ и не просто, а к сертифицированному.
В итоге сертификация обходится в заоблачную сумму, которую почти никто не готов платить.

Quote (maestRo)
Получение сертификата ФСТЭК на ОС необходимо для работы в органах государственной власти, муниципального самоуправления, образовательных и медицинских учреждениях, производственных, финансовых и других организациях, имеющих дело с конфиденциальной информацией и персональными данными (естественно учитывая требования по вашему классу АС и/или ИСПДН).

Вводим в заблуждение?
1. Сертификации подлежат только СЗИ. Если СЗИ ОС не используется как СЗИ или дополнительно используются сертифицированные СЗИ, то сертификат на ОС не обязателен.
2. Использовать сертифицированную ОС себе дороже, т.к. с сертификатом можно попрощаться после наката первого же сервис-пака или обновления любой библиотеки, вошедшей в сертифицированный дистрибутив.
3. Оценка НДВ согласно 58 приказа ФСТЭК необходима только для СЗИ в ИСНДн К1.
4. Как обеспечивать защиту от НСД определяется моделью угроз. Вполне возможно, что можно обеспечить и орг.мерами, например, закрывать кабинеты за ключ и выключать сервер, серверную опечатывать, рабочие места разделить в физически разные сети (на уровне железа) с одинаковыми правами доступа в каждой подсети.

Quote (maestRo)
Либо поставить на опен-сорс ОС сертифицированное Средство защиты информации от НСД. Это тоже вариант.

Вариант.

Quote (vermilion)
Блин ещё раз, если на машине нет серкретной/категорийной информации значит OC без сертификата может быть установлена, или независимо от содержания на любом компьютере муниципалитета должна быть ОСЬ с сертифицированная ФСТЭК?

Вообще говоря таких требований нет.
Модель угроз у Вас есть? Что там написано?

Quote (Expert)
Но ездившие в Пермь говорят, что там реально нет очередей в поликлинках.
Т.е. социальный эффект уже есть.

Нет очередей, извините куда? К врачам?
 
maestRoДата: Вторник, 27.04.2010, 21:33 | Сообщение # 347
Полковник
Группа: Проверенные
Сообщений: 228
Репутация: 22
Статус: Offline
Quote (vermilion)
Блин ещё раз, если на машине нет серкретной/категорийной информации значит OC без сертификата может быть установлена, или независимо от содержания на любом компьютере муниципалитета должна быть ОСЬ с сертифицированная ФСТЭК?

Если на компьютере нет информации ограниченного распространения, то требования к сертификации ОС необязательны. В этом случае необходимо руководствоваться моделью угроз и моделью нарушителя, применимо к вашей АС или ИСПДн.

Quote (vermilion)
Т.е. междесетевого экрана на внешнем сетевом интерфейсе достаточно естественно с сертификатом ФСТЭК.

Не совсем. МСЭ сертифицируются по РД ФСТЭК как межсетевые экраны. МСЭ-не является средством защиты информации от НСД в полном смысле, т.к. не реализует механизмы дискреционного и мандатного разграничения досутпа, контроль процессов и приложений и т.п.

Quote (vermilion)
Остальные Оси которые Вы перечислили по-моему платные.

Скорее всего, т.к. сборка проходила сертификацию. Поэтому разработчик должен иметь выгоду.

Quote (asdfghjkl)
1. Сертификации подлежат только СЗИ. Если СЗИ ОС не используется как СЗИ или дополнительно используются сертифицированные СЗИ, то сертификат на ОС не обязателен.

Абсолютно верно. Видимо надо было это написать, для того чтобы было понятнее. ОС проходит сертификацию на отсутствие НДВ и сертификацию на СЗИ от НСД, которое встроено в ОС. (штатные средства).

Quote (asdfghjkl)
2. Использовать сертифицированную ОС себе дороже, т.к. с сертификатом можно попрощаться после наката первого же сервис-пака или обновления любой библиотеки, вошедшей в сертифицированный дистрибутив.

Здесь поправлю. В поставку сертифицированных сборок как правило включается техническое обслуживание. Т.е. если версия библиотеки обновляется, проходит сертификацию, то клиенту предоставляется возможность получить их в рамках техобслуживания (с МСВС 3.0 точно так). Другая сторона медали: новые версии сертифицированных библиотек несколько запаздывают по сравнению с их товарищами "без погон". С ОС корпорации Microsoft- сложнее. Как только устанавливается обновление- к примеру через Windows Update, то сертификат "слетает". Выход, к примеру использование Secure Pack.

Quote (asdfghjkl)
Оценка НДВ согласно 58 приказа ФСТЭК необходима только для СЗИ в ИСНДн К1.

Да. Для АС, обрабатывающих конфиденциалку или ГТ согласно РД ФСТЭК все сложнее.

Quote (asdfghjkl)
4. Как обеспечивать защиту от НСД определяется моделью угроз. Вполне возможно, что можно обеспечить и орг.мерами, например, закрывать кабинеты за ключ и выключать сервер, серверную опечатывать, рабочие места разделить в физически разные сети (на уровне железа) с одинаковыми правами доступа в каждой подсети.

В случае, если АС не аттестована по требованиям безопасности - то да. В ином случае - модель угроз необходимое, но не достаточное условие соблюдения требований безопасности. Тут вступают в силу РД ФСТЭК. И опять же в зависимости от класса АС. Опять таки не следует забывать, что можно использовать обычную ОС, но с установленным СЗИ от НСД (сертифицированным). Таким образом, варианты имеются.


Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==


Сообщение отредактировал maestRo - Вторник, 27.04.2010, 21:35
 
BoSSurmanДата: Среда, 28.04.2010, 00:12 | Сообщение # 348
Корифей
Группа: Модераторы
Сообщений: 674
Репутация: 65
Статус: Offline
Немного отойду от темы, но просветите меня плз, каким образом вы собираетесь оперативно админить сеть из пары-тройки сотен клиентов на линуксе?

:-P
 
vermilionДата: Среда, 28.04.2010, 05:43 | Сообщение # 349
Подполковник
Группа: Проверенные
Сообщений: 133
Репутация: 14
Статус: Offline
Quote (BoSSurman)
Немного отойду от темы, но просветите меня плз, каким образом вы собираетесь оперативно админить сеть из пары-тройки сотен клиентов на линуксе?

PDC
teamviewer
надеюсь Samba 4 до уровня продакшен допилят
машин 60 - пока


Джонни-Унитаз
 
DenisK@Дата: Среда, 28.04.2010, 06:58 | Сообщение # 350
Философ-болтун
Группа: Гости
Сообщений: 474
Репутация: 83
Статус: Offline
Quote (asdfghjkl)
Нет очередей, извините куда? К врачам?

нет очередей в коридоре, в т.ч. и к врачам
Quote (BoSSurman)
Немного отойду от темы, но просветите меня плз, каким образом вы собираетесь оперативно админить сеть из пары-тройки сотен клиентов на линуксе?

что понимается под словом "админить"
выполнять обновление ПО? У линуха есть возможность
Раздавать права доступа на локальные машины?, на сетевые ресурсы?
У линуха есть прекрасный инструмент SSH, который заменяет терминалку и значительно шире.


Мужчина не проиграл, если потерпел поражение. Он проиграл, если сдался.(Никсон)
 
vermilionДата: Среда, 28.04.2010, 08:40 | Сообщение # 351
Подполковник
Группа: Проверенные
Сообщений: 133
Репутация: 14
Статус: Offline
Да согласен, или человек не осведомлен о текущих технологиях Линукс, или я неправильно понимаю администрорование..

Джонни-Унитаз
 
asdfghjklДата: Среда, 28.04.2010, 09:40 | Сообщение # 352
Майор
Группа: Проверенные
Сообщений: 81
Репутация: 9
Статус: Offline
Quote (DenisK@)
Нет очередей, извините куда? К врачам?

нет очередей в коридоре, в т.ч. и к врачам


И Вы считаете, что это заслуга программы???
 
DenisK@Дата: Среда, 28.04.2010, 17:50 | Сообщение # 353
Философ-болтун
Группа: Гости
Сообщений: 474
Репутация: 83
Статус: Offline
Quote (asdfghjkl)
И Вы считаете, что это заслуга программы???

да. Вместо системы живой очереди введена электронная с записью на время


Мужчина не проиграл, если потерпел поражение. Он проиграл, если сдался.(Никсон)
 
vermilionДата: Среда, 28.04.2010, 21:12 | Сообщение # 354
Подполковник
Группа: Проверенные
Сообщений: 133
Репутация: 14
Статус: Offline
Технический момент, заметил что в 10 Ubuntu и производных есть Samba 4, а это уже практически полная замена AD причем насколько я знаю поддерживает SMB2 (vista, 7). Сегодня смог прикрутить к Thunar эту самую Samba 4 alpha8, влез в рабочую группу, по виндовому имени и паролю без проблем...
Сначала думал что у Samba сил хватит толко PDC, но попробую все таки поколдовать с полноценной заменой AD, тем более что спешить мне пока некуда...
Ubuntu разрешили ставить))) Правда не везде, а почти везде....))))


Джонни-Унитаз
 
БурдДата: Среда, 28.04.2010, 21:50 | Сообщение # 355
Генерал-майор
Группа: Проверенные
Сообщений: 254
Репутация: 53
Статус: Offline
Cобытие №1 для рынков информационной безопасности, хранения данных, электронного документооборота и электронных государственных услуг в России.

VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010 обеспечивает максимальную полезность визита для заказчика и наивысший в России ROI для экспонента.

Программа выставки формируется самими заказчиками и их профессиональными объединениями. Это позволяет сосредоточиться на ключевых текущих и среднесрочных интересах заказчиков, обеспеченных финансированием.

Все физическое пространство выставки и электронная информационная среда предоставлены экспонентам для генерации продуктивных контактов, развития текущих и установления новых отношений с заказчиками. К началу мероприятия достигается высокий уровень готовности сторон к результативным переговорам на VII Международной выставке InfoSecurity Russia. StorageExpo. Documation’2010.

http://www.infosecurityrussia.ru/


Главное терпение: вода камень точит. А вот обточенным камнем можно и по башке упертому оппоненту заехать ...
 
maestRoДата: Среда, 28.04.2010, 22:28 | Сообщение # 356
Полковник
Группа: Проверенные
Сообщений: 228
Репутация: 22
Статус: Offline
Quote (vermilion)
Ubuntu разрешили ставить))) Правда не везде, а почти везде....))))

Ну вот и отлично. Главное, чтобы это решение было как следует обдумано и взвешено.


Хотел поставить в подписи рекламу, почитал правила форума :)
Так что: ==Тут могла быть наша реклама==
 
BoSSurmanДата: Четверг, 29.04.2010, 01:08 | Сообщение # 357
Корифей
Группа: Модераторы
Сообщений: 674
Репутация: 65
Статус: Offline
Quote (DenisK@)
что понимается под словом "админить" выполнять обновление ПО? У линуха есть возможность Раздавать права доступа на локальные машины?, на сетевые ресурсы? У линуха есть прекрасный инструмент SSH, который заменяет терминалку и значительно шире.

Quote (vermilion)
Да согласен, или человек не осведомлен о текущих технологиях Линукс, или я неправильно понимаю администрорование..

Я интересовался возможностью найти полноценную замену АД на линуксе. Некоторое время назад и речи не шло о подобной полноценной замене. Интересно послушать, а еще больше интересно посмотреть на работающую реализацию подобной замены. Поделитесь плз опытом. Будет полезно всем.

А вообще, если вы имеете в виду самбу 4ю, то меня лично смущают подобные заявления:

Quote
WARNINGS
========

Samba4 alpha4 is not a final Samba release. That is more a reference
to Samba4's lack of the features we expect you will need than a
statement of code quality, but clearly it hasn't seen a broad
deployment yet. If you were to upgrade Samba3 (or indeed Windows) to
Samba4, you would find many things work, but that other key features
you may have relied on simply are not there yet.

For example, while Samba 3.0 is an excellent member of a Active
Directory domain, Samba4 is happier as a domain controller: (This is
where we have done most of the research and development).

While Samba4 is subjected to an awesome battery of tests on an
automated basis, and we have found Samba4 to be very stable in it's
behaviour, we have to recommend against upgrading production servers
from Samba 3 to Samba 4 at this stage. If you are upgrading an
experimental server, or looking to develop and test Samba, you should
backup all configuration and data.


Quote
Samba 4 is still feature incomplete. If you are using it for anything other
than education you are insane, or perhaps just very interested.


:-P
 
asdfghjklДата: Четверг, 29.04.2010, 01:31 | Сообщение # 358
Майор
Группа: Проверенные
Сообщений: 81
Репутация: 9
Статус: Offline
Quote (DenisK@)
И Вы считаете, что это заслуга программы???
да. Вместо системы живой очереди введена электронная с записью на время

Бред. Полный.
Запись на конкретное время можно сделать и сейчас. Более того, применительно к узким специалистам она есть в каждой поликлинике и даже автоматизирована почти везде. Но во-первых, Вы попробуйте дозвониться. Есть хотя-бы одна поликлина у нас в городе, где звонки принимают специальные люди - операторы call-центра, а не те же, кто сидит в окошках и кладет трубку рядом с телефоном, чтобы тот не беспокоил?
Во-вторых, вряд ли я буду записываться на сдачу какого-то анализа, типа крови, потому как отчасти лень/некогда звонить, а кроме того очередь идет достаточно быстро и планирование с интервалом в минуту, а то и меньше трудновыполнимо. Плюс оно усложняется тем, что неизвестно точно сколько человек будут принимать. В итоге будет как у нас в Верховном суде - зовут на 10, а попадаешь в 14, ну только с меньшим разбегом.

Надо начинать не с программ, а с наведения порядка. А сейчас бардак, который ВЫ хотите автоматизировать. На выходе, естественно, получите АВТОМАТИЗИРОВАННЫЙ БАРДАК. Да еще и в масштабах города. И опять за деньги налогоплательщиков. Может быть стоило сначала хотя-бы пилот запустить на одной поликлинике, а?
А вообще - послушайте, а не заплатить ли Вам за такое "попробовать" из собственного кармана?

Тут вот говорили про концепцию информатизации, обоснования, эффективность и т.д. и т.п. А где все это?
На деле же сидит просто кучка недоучек и пилит бюджетные деньги, которых и так не хватает.

P.S. Дай бог, чтобы у этих автоматизаторов ничего не вышло.

 
vermilionДата: Четверг, 29.04.2010, 06:26 | Сообщение # 359
Подполковник
Группа: Проверенные
Сообщений: 133
Репутация: 14
Статус: Offline
Quote (asdfghjkl)
Я интересовался возможностью найти полноценную замену АД на линуксе.

Ну вообщето AD это замена eDIrectory кроссплатформенного решения Новелл и эталона таких служб..поэтому я бы не стал сильно смотреть на AD.
Quote (asdfghjkl)
Ну вот и отлично. Главное, чтобы это решение было как следует обдумано и взвешено.

Главное что это бесплатно...
Quote (BoSSurman)
А вообще, если вы имеете в виду самбу 4ю, то меня лично смущают подобные заявления:

Текущий релиз alpha11, если я и запущу её в продакшен, то только в том случае если она у меня стабильно хотя бы пол-года отработает в минисети (прокси, samba4, почтовик, виндовый сервер приложений (под бухгалтерию), ну и Линуксовый клиент).


Джонни-Унитаз
 
DenisK@Дата: Четверг, 29.04.2010, 07:39 | Сообщение # 360
Философ-болтун
Группа: Гости
Сообщений: 474
Репутация: 83
Статус: Offline
Quote (asdfghjkl)
Бред. Полный.

Вы, как всегда, категоричны :)
Quote (asdfghjkl)
Запись на конкретное время можно сделать и сейчас. Более того, применительно к узким специалистам она есть в каждой поликлинике и даже автоматизирована почти везде.

Мне просто было лень разъяснять. Автоматизировать саму запись конечно не эффективно, вместо этого проще в журнал писать.
Программа даёт возможность операторам иметь он-лайн доступ к расписанию приёма всех врачей. Что, в свою очередь, даёт возможность сделать централизованный кол-центр. Он тоже запланирован.
Quote (asdfghjkl)
Надо начинать не с программ, а с наведения порядка.

Не соглашусь. Без программ навести порядок гораздо труднее. Вместе с программой косвенно продаётся и ноу-хау по упорядочиванию этой сферы. Наработки соседей. Этим и ценна покупка обкатанной программы.
Quote (asdfghjkl)
А сейчас бардак, который ВЫ хотите автоматизировать.

1) Далеко не везде бардак. Медицина регламентирована достаточно детально.
2) Не я буду автоматизаровать sad Я пытаюсь привлечь заинтересованных лиц и внимание общества к этому вопросу.
Quote (asdfghjkl)
На деле же сидит просто кучка недоучек и пилит бюджетные деньги, которых и так не хватает.
P.S. Дай бог, чтобы у этих автоматизаторов ничего не вышло.

Бухтеть на форуме - не мешки ворочать. Я не буду говорить за других, но я не просто недоучка, я вообще неуч. Я закончил экономический факультет и никакого отмеченного дипломом образования по IT не имею. При этом я уже забыл когда рассылал резюме. Не знаю почему, но меня приглашают на работу люди, которые видели как я работал ранее.
Более того, лично я ничего не пилю. Мне ничего не дают. Если у вас есть сомнения обращайтесь в милицию, пусть проверят закупки. Правильность конкурсов с указанием миллиметров в размерах и т.д. из другой темы. Вдруг окажется, что и у вас "рыло в пуху"?
А если у автоматизаторов ничего не выйдет, то всё так и останется.


Мужчина не проиграл, если потерпел поражение. Он проиграл, если сдался.(Никсон)
 
Поиск:

close