Так вроде просто венду тоже не поставишь... Не знаю, что там у вас, но "сертифицированным" является комплексное решение.

так слов же нет. В тот же день, позвонили из н-кого майкрософта, руководству, и прайс выкатили, на какие-то 2003-е серваки и икспишки то ли особые, то ли просто не висты - цена вчетверо выше...

с сертификатом ФСТЭК только ALT и Mandriva

из не rpm-ного ничего нет пока

Еще RHEL.

ftp://ftp.software.ibm.com/software/ru/cert/rhel_4_as_certificate.pdf
ftp://ftp.software.ibm.com/software/ru/cert/rhel_4_ws_certificate.pdf

Хочу уточнить, зачем это надо. Всё-таки доп. расходы.

> так слов же нет. В тот же день, позвонили из н-кого майкрософта, руководству, и прайс выкатили, на какие-то 2003-е серваки и икспишки то ли особые, то ли просто не висты - цена вчетверо выше...

Насколько я знаю, из серверных виндов ФСБ сертифицировало максимум Windows 2000 Server.

А что до цен на висту и XP - баксы подорожали плюс самое главное мелкософт сейчас не даёт на хрюшу никаких скидок, а на висту какие угодно. Типа вы конечно можете купить хрюшу, если вам так прям надо, но может лучше висту?...

Win2000 где лицензии завалялись тоже дорого стОит...

Я к чему спросил. Если ты, к примеру, пересоберешь ядро, заменишь init на upstart, поставишь любую стороннюю программку, сделаешь апгрейд, то снова получишь несертифицированную систему. Стоит ли заморачиваться.

Купите альт, какие проблемы? По крайней мере это лучше чем финансировать гуманитарные бомбардировки.

Утверждается, что 2003-е сертифицированы, xp тоже. Виста - вроде как ещё нет сертификата, т.е. не подходит. Там не просто обычная лицензия, а существенно более дорогие продукты, по сути именные.

А вот за это большое спасибо, RHEL как-то по-солиднее будет

Если возникает такой вопрос, значит надо :-) Поработаю КО

1 - Оно если сертифицированно, то конкретные билды и линукса и виндоса. Дорого. Дорого!!! Но если тебе это надо, то деваться тут будет вообще некуда. Поэтому дорого.

2 - КОНКРЕТНЫЕ БИЛДЫ. Просто "вот тут у нас 2000й, вы ж его вроде?" не покатит.

3 - Забудь про обновления бинарников. Вообще. В том числе про новые сертифицированные версии чаще раза в 3-5 лет. А вот скомилировать апач из сырцов может быть можно, а может и нет, тут надо смотреть по ситуации. Но скорее всего нет.

4 - Всякие "мандрива - не круто" можно тоже забыть.

И последнее, если возникает такой вопрос, то значит это вам надо и это должно окупаться. Просто такие правила игры, ничего тут не поделать.

Весь вопрос в том, как руководство договориться с ФСБ. Закон, ведь, не дышло... Пока что потребовали только венду, но, надеюсь, уговорят на ФСТЭКовский линукс. В любом случае, убунту жалко... Ведь везде уже была она.

> RHEL как-то по-солиднее будет

Не на любой машине.

"Настоящий сертификат удостоверяет, что операционная система Red Hat Enterprise Linus AS Version 4 Update 1 + Audit Pack, разработанная компанией Red Hat, Inc. и производимая ОАО "ВНИИНС им. В.В.Соломатина", функционирующая на аппаратных платформах IBM eServer xSeries, BladeCenter, zSeries, iSeries, pSeries и в виртуальных машинах z/VM 5.2, является ..."

ftp://ftp.software.ibm.com/software/ru/cert/rhel_4_as_certificate.pdf

Если у вас все действительно серьезно, то должен быть докУмент, утверждающий, что у вас должны использоваться аппаратура + ОС, удовлетворяющие определенным классам по "отсутствию недекларированных возможностей" и по "защите от несанкционированного доступа".

Дальше смотреть, какой дистрибутив подходит:

RHEL: ftp://ftp.software.ibm.com/software/ru/cert/rhel_4_as_certificate.pdf

ALT: http://www.altlinux.ru/fileadmin/products/certificate_1501_altlinux_server40.pdf

Mandriva: http://www.linuxcenter.ru/shop/distros/linux-distros/mandriva_corporate_serve...

Если не секрет - в какой области работает уважаемый хоркун, очень уж удобно ломать вас будет кому-то при такой безопасности :) Кто-то поломал - описал алгоритм и 3-5 лет громи обывателей с точностью по шагам :)

На самом деле, это не я там работаю. Но, скажем так, всё это касается коммерческой организации, по мнению ФСБ подпадающей под действие Постановления Правительства РФ №957 от 29.12.2007 г.

Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Так это положение относится к очень сильно отдельным видам производства средств шифрования. Не относится к гражданке, работе с гостайнами и банковским делам.

Я так и не понял, честно говоря, как под него подпасть.

ну да. видел я сертифицированные эти линуксы и студентов-пионеров которые их дрючат. это кошмар и тихий ужас. мне пондобилось тогда угнать рутовый пароль (с разрешения начальства, ибо студента этого не могли найти), за 10 минут вытащил всё что нужно...

а вообще, как я понимаю, это действительно "как начальство договорится". ибо может быть даже просто купят два сервера (как у нас было) с фирменными наклейками и поставят в стойку. включат, а RJ45 не воткнут. И вторая стойка с линуксами на которой будет большими буквами написано "стойка тестирования новых версий продуктов".

андрей, какой ты у нас теперь симпатичный стал )))
эти очки тебе очень идут :)

> В тот же день, позвонили из н-кого майкрософта, руководству, и прайс выкатили, на какие-то 2003-е серваки и икспишки то ли особые, то ли просто не висты - цена вчетверо выше...

Школьники на лоре. Фээсбэшники же не просто так приходили "за спасибо". Естественно цена вчетверо выше.

Организации - сторчить официальное письмо на имя с объяснением. После этого можно их на ... посылать.

Если в кратце, то любая коммерческая деятельность с применением СКЗИ, будь то их разработка, обслуживание или распространение (оказание услуг с их использованием) - и привет, надо лицензироваться согласно данному док-ту.

Уже вынесено официальное постановление об административном правонарушении и требование об устранении в достаточно реальные сроки.

Ну если вы СКЗИ х.з. где и как обслуживали - то это уже вы лоханулись, и лоханулись крупно. Нормативные документы на этот счет как бэ намекают.

Всё бы ничего, но по их мнению ssl это тоже СКЗИ. Так что, и так и этак всё равно достали бы

> 1 - Оно если сертифицированно, то конкретные билды и линукса и виндоса

На конкретном железе.

Re^2: Linux и ФСБ

> Всё бы ничего, но по их мнению ssl это тоже СКЗИ.

> Так что, и так и этак всё равно достали бы

Не-не-не, дэвид блейн. Варианты:

а) вам указано (предписано) использовать СКЗИ для осуществления таких-то операций, есть соответствующие норм. документы и регламент (внутренний или внешний). Тогда вы обязаны использовать сертифицированное говно на анально огороженном железе.
б) вы сами по своей нужде-надобности пользуетесь ключами внутри конторы. Есть рекомендации, но ни нормативных актов, ни приказов нет. фсб идет лесом.
в) вы сношаетесь с третьеми лицами через систему ключевания - всё совсем плохо, т.к. эта часть законодательно вообще никак не проработана.

Третий вариант и на самом деле никто никого ни о чём не спрашивал, просто сейчас ко всем приходят. И все прекрасно знают, почему. Просто "нужные" люди зарабатывают, даже в кризис.

Тогда жопа, конечно. Остаётся только вариант потемкинской серверной, предложенный выше. Если сможешь, скинь максимум инфы по прецеденту, за минусом всех имен собственных, разумеется.

«ДиалогНаука» получила новый комплект лицензий ФСБ РФ

Центр по лицензированию, сертификации и защите государственной тайны ФСБ России выдал компании «ДиалогНаука» новые лицензии на право выполнения работ по защите информации, составляющей государственную тайну. Данный комплект лицензий позволит компании «ДиалогНаука» создавать защищённые с использованием шифровальных средств информационные системы и комплексы телекоммуникаций, в том числе для органов государственной власти Российской Федерации. Кроме этого лицензии также позволят осуществлять мероприятия и оказание услуг в области защиты государственной тайны.

Первая, полученная компанией «ДиалогНаука» лицензия, разрешает осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну. Действие данной лицензии предоставляет возможность компании «ДиалогНаука» разрабатывать и производить защищённые информационные системы и комплексы телекоммуникаций, с использованием шифровальных средств, которые, в свою очередь, могут быть применимы в органах государственной власти Российской Федерации.

В соответствии со второй лицензией компания «ДиалогНаука» может осуществлять мероприятия и оказывать услуги в области защиты государственной тайны. Лицензия наделяет компанию «ДиалогНаука» правом заниматься техническим обслуживанием и распространением шифровальных средств, а так же информационных и коммуникационных систем, защищенных с использованием шифровальных средств, в том числе для государственной власти Российской Федерации.

Лицензии были выданы на основании результатов специальной экспертизы, проведенной экспертами ФГУП «НТЦ «Атлас», что подтверждает высокий профессиональный уровень сотрудников компании «ДиалогНаука» и обеспечение необходимых технических условий для проведения указанных видов деятельности.

«Полученные лицензии позволяют ЗАО «ДиалогНаука» оказывать полный спектр услуг в области защиты информации, составляющей государственную тайну, начиная с проектирования и заканчивая внедрением и техническим сопровождением комплексных систем защиты», – комментирует Виктор Сердюк, генеральный директор компании «ДиалогНаука».

http://www.cybersecurity.ru/press/67095.html

>Третий вариант и на самом деле никто никого ни о чём не спрашивал, просто сейчас ко всем приходят. И все прекрасно знают, почему. Просто "нужные" люди зарабатывают, даже в кризис.

Да это "рэкет".
И GNU/Linux здесь практически не при чём...

Ответить бы им адекватно...

Как обычно поступает в таких случаях руководство?

Может "шум" поднять?

> Может "шум" поднять?

бабы на базаре, что ли? мужчины пришли взять их деньги. пришли забирать у мужчин, которым пока нечем крыть. кто виноват? - не имеет значения. сколько будет продолжаться? - пока вторые мужчины не сделают чем крыть. как сделать это "чем крыть" - посредством выборов и лоббирования интересов

да,да.

"это бизнес, ничего личного".

Тогда причем тут linux и opensource?

Затвра сертификацию навяжут повсемество, будете хавать, как всегда, кактус, на этот раз сертифиципрованный (читай - устаревший).

Как сейчас сертифицированную систему на новое железо ставить?

Поставь Plan9

>Как сейчас сертифицированную систему на новое железо ставить?

знамо как, выкинуть новое железо и купить старое, отож

Да вот ничего подобного. Там много всяких нюансов. Иначе все https сервисы подпадали бы под эту указивку.

Очень не всегда. На сколько мне приходилось встречаться с поделиями Фактор-ТС (о как я их велосипеды обожаю!). Может быть сертифицирован программно-аппаратный комплекс для серверов, а АРМы могут быть плюс-минус произвольные в некоторых пределах, поправь меня. По крайней мере я видел сертифицированный софт на вроде бы произвольных железках... Хотя, я глубоко не вникал, так, мимо проходил.

Если я правильно понял топикстартера, тут речь вообще про другое. Они используют цифровую подпись для сношений. Есть перечень одобреных высочайшим повелением реализаций этих самых ключей/шифровки, и в силу непонятно чего, его контора обязана воспользоваться именно этими реализациями. Если речь идет именно о ключевании/шифровании данных, там вообще никакой привязки к ос нет, нужно просто выбрать одну из одобренных свыше софтин.

Главная интрига треда - что за контора, и с какого +уя её проверяет фсб? Если оборонка с контрактом и гостайной - то понятно. Но у оборонок как правило нет сношений с клиентурой по открытой сети.

Используется и шифрование и эл. подпись, всё это и составляет СКЗИ. Сейчас в городе проверяют массово, всех коммерсантов кто использует или разрабатывает СКЗИ, производителей софта, банки, конторы по электронной отчётности, провайдеров (хотя ситуацию последних совсем не знаю, видимо, это касается всяческого виртуального хостинга с доступом по защищённым каналам) и т.д. Следующий этап - персональные данные, т.е. сведения о гражданах. Если контора собирает и хранит такие сведения, то подпадает под определённые законодательные акты. Там вообще будет туши свет, но эту тему пока что не трогали. Это всё как раз НЕ касается гостайны, по гостайне всё ещё суровее.

>В тот же день, позвонили из н-кого майкрософта, руководству, и прайс выкатили,

Будем называть вещи своими именами: в новосибирском ФСБ работают на Microsoft и позорят высокое звание работника службы безопасности.

Это маловероятно, т.к. звонили ещё и из оракла, и редхата, правда, за неделю до проверки.

на самом деле в-основном проверяют персонал, имеют ли работники высшее образование в сфере информационной безопасности. А вендоры, видимо, просто почуяли, что под шумок можно и продать что-нибудь сертифицированное, и напомнили проверяющим про эту тему

> Сейчас в городе проверяют массово, всех коммерсантов кто использует или разрабатывает СКЗИ, производителей софта, банки

Стоп-стоп-стоп. _Кто_ проверяет? С какого уя _производителей софта_? С какого уя банки? Банки проверяют инспеции ЦБ, фсбшники тут никаким местом. По их линии, как и линии МВД есть отдельные процедуры, и СКЗИ там никаким боком.

> конторы по электронной отчётности, провайдеров

Конторы по электронной отчётности уже должны иметь сертифицированные реализации для работы.

Провайдеры тут вообще не причём.

> на самом деле в-основном проверяют персонал, имеют ли работники высшее образование в сфере информационной безопасности.

Чё за уйня у вас там твориться?

За что купил, за то и продаю. А чем это кончится - время покажет.