ФСТЭК, реестр сертифицированного ПО. Поясните.

0

3

Если кто сталкивался, поясните пожалуйста возможно грядущуую ситуацию. В связи с законом о защите персональных данных, контора готовится к сертификации. Ничего ещё не ясно, может ничего и не будет, а может и будет, блин.

Смысл в том, что теперь весь софт должен быть сертифицирован, usb заклеены и отключены и т.п. Если я правельно понял, то рабочие места теперь должны полностью соответствовать гос реестру сертифицированных средств защитыинформации (есть на сайте http://www.fstec.ru). В самом печальном случае, насколько меня пугают, это винды, сертифицированный антивирус, опечатанные и отключенные usb-порты и т.д. Линуксовые раб места и сервер (как и предоставляемые им сервисы) идут лесом.

Кстати, в том перечне есть линукс, старые alt и asp, дебиана нету. На форуме ФСТЭКа куча всякой информации, все оперируют неизвестными мне аббривиатурами и сокращениями.

Если кто в курсе, просвятите пожалуйста обстановку в данном вопросе.

[trololo] по слухам, проверка фстэка была в другом филиале, кругленькая сумма получилась, чтобы соответствовать их требованиям. Например, обычные лиц винды им не подходят, нужны те, что куплены у них с сертификатом, а это ~ 10 к.р против 2000 (winXP). Непонятно что с админами, должен ли я тоже быть как-то сертифицирован. Но это всё непроверенная информация. [/trololo]

Ссылка

←	[debian] Пара вопросов к пользователям Squeeze

[Debian][Slim&Openbox] Проблема с настройкой

→

Мандрива сертифицирована ФСТЭК. Еще можно для снижения геморроя закупить тонкие клиенты без портов вообще.

anonymous
(10.09.10 14:14:26 MSD)

Ссылка

нужны те, что куплены у них

Ну вы поняли, да?

// суть любой сертификации или ГОСТ стандартов это наличие бэкдоров и прочего распыления информации. от части это обусловлено возможностью восстанвления/считывания, к примеру шифрованных, данных мастерключем.

Попробуйте спросить тут, как ни как вопрос защиты данных, хоть и по «ГОСТу»

Umberto ★☆
(10.09.10 15:02:33 MSD)

ЕМНИП сертифицированы должны быть только те рабочие места, на которых производится работа с персональными данными. Можно просто выделить пару компов, сертифицировать их по полной программе и убрать в кладовку до следующей проверки =).

Deleted
(10.09.10 15:35:02 MSD)

Во-первых платить придётся так или иначе. Во-вторых, тут бегло никто не объяснит полноценно, придется читать тематические форумы

~~Hokum~~ ☆☆☆☆
(10.09.10 15:58:07 MSD)

Ссылка

Ответ на: комментарий от Deleted 10.09.10 15:35:02 MSD

Места должны быть аттестованы. Для аттестации нужно сертифицированное ПО. Но это просто вводная, на самом деле там гемора может быть в три этажа.

~~Hokum~~ ☆☆☆☆
(10.09.10 15:58:58 MSD)

Альт сертифицирован!

~~ipwww~~ ★★
(10.09.10 17:27:10 MSD)

Ответ на: комментарий от ipwww 10.09.10 17:27:10 MSD

Какая версия? Если 4-я, то... 2006-й год кажись, не старовато?

~~Hokum~~ ☆☆☆☆
(10.09.10 17:32:17 MSD)

Ссылка

Интересно, а рабочее место в виде «бумага + ручка + печатающая машинка + сейф для документов» (т.е. без компьютера) пройдет сертификацию?

AEP ★★★★★
(10.09.10 19:25:48 MSD)

Ссылка

Ответ на: комментарий от Hokum 10.09.10 15:58:58 MSD

Места должны быть аттестованы. Для аттестации нужно сертифицированное ПО. Но это просто вводная, на самом деле там гемора может быть в три этажа.

Я к тому, что не обязательно все рабочие места должны быть сертифицированы. Можно выбрать несколько и сказать, что именно на них производится работа с персональными данными. Или я не прав?

Deleted
(10.09.10 20:48:01 MSD)

Ответ на: комментарий от Deleted 10.09.10 20:48:01 MSD

понятно, что не все. Но, скажем у нас всё, что касается ПО вынесено в отдельную сетку и защищено по самые помидоры.

~~Hokum~~ ☆☆☆☆
(11.09.10 04:35:07 MSD)

Ссылка

>>Линуксовые раб места и сервер идут лесом.

Кстати, в том перечне есть линукс, старые alt и asp

Взаимоисключающие параграфы детектед.

mclaudt ☆
(11.09.10 04:45:29 MSD)

>>Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (документ MS Excel)

Дальше можно не читать.

Анализатор механизма очистки внешней памяти «НКВД 2.4» является программным средством контроля эффективности применения СЗИ – по 4 уровню НДВ

nuff said

Программа «Ревизор-2 для Linux» - программное средство контроля защищенности информации от НСД в АС по 3 уровню контроля НДВ

ЗКА - засилие кретинских аббревиатур, главный признак ФГМ и средство повышения ЧСВ более 9000 для обладателей ГСМ.

mclaudt ☆
(11.09.10 04:58:49 MSD)

Ответ на: комментарий от Umberto 10.09.10 15:02:33 MSD

>>// суть любой сертификации или ГОСТ стандартов это обеспечение наличия бэкдоров и возможности восстанвления/считывания к примеру шифрованных данных мастерключом.

fixed?

mclaudt ☆
(11.09.10 05:06:13 MSD)

Ответ на: комментарий от mclaudt 11.09.10 05:06:13 MSD

comment.

Umberto ★☆
(11.09.10 05:09:39 MSD)

Ссылка

Ответ на: комментарий от mclaudt 11.09.10 04:45:29 MSD

Линуксовые раб места и сервер идут лесом.

Кстати, в том перечне есть линукс, старые alt и asp

Взаимоисключающие параграфы детектед.

Ну, во-первых, у нас дебиан, убунту и немного слаки, во вторых, альт и асп СТАРЫЕ, а втретьих, там всё очень интересно (в перечне), нсколько я понимая, там сертифицирована сборка, то есть не весь дистрибутив; по крайней мере, если всё делать по правилам, то нельзя скачать сторонний пакет, собрать и заиспользовать. Так что альт и асп там тоже очень условны.

Хотя, могу ошибаться...

temporary ★★
(11.09.10 11:32:25 MSD) автор топика

Ссылка

Ответ на: комментарий от mclaudt 11.09.10 04:58:49 MSD

>>>Анализатор механизма очистки внешней памяти «НКВД 2.4» является программным средством контроля эффективности применения СЗИ – по 4 уровню НДВ

nuff said

Программа «Ревизор-2 для Linux» - программное средство контроля защищенности информации от НСД в АС по 3 уровню контроля НДВ

ЗКА - засилие кретинских аббревиатур, главный признак ФГМ и средство повышения ЧСВ более 9000 для обладателей ГСМ.

А там всё так, на форуме тоже. Отчасти потому и спрашиваю на лоре, может есть несчастные, которым пришлось разбиратся в этом.

temporary ★★
(11.09.10 11:35:22 MSD) автор топика

Ссылка

если под венду делается примерно так: ставится лиц. венда, оффис, авирус + некое средство «защиты», например «secret net»
настраивается под нужный класс; помещение аттестуется по помехам, охране и т.п.
все в итоге проверяется и выдается разрешающая бумажка
проверку (и может настройку) делает некая контора, у которой есть разрешение на данный вид деятельности
было бы интересно узнать есть ли такие решения под linux - так что как поставите - отпишись, что из этого получилось

x905 ★★★★★
(11.09.10 12:59:23 MSD)

Ссылка

Смысл в том, что будет дядя или тётя, или их линейные комбинации, которые будут определять, что можно, что нельзя, а за то, что можно, будут брать деньги, а за то, что нельзя - насылать маски шоу или прочие проверки, штрафовать, раздувать щеки и грозить карой.

А ты думал, как государство занимается регулированием? Разделять, чтобы властвовать... Вот и поделят вас таким образом на правильных и неправильных.

record ★★★★★
(11.09.10 13:07:11 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[debian] Пара вопросов к пользователям Squeeze

General

[Debian][Slim&Openbox] Проблема с настройкой

→

Похожие темы