[бумажки][не нужно]бюрократия

Кстати, выбор ОС, я так понимаю, теперь только из «белого списка»? Т.е. мастдай, да древние дистрибутивы?

Что-то я не понял, закон всё-таки о защите персональных данных - или о расхищении оных?

Это просто очередной распил.

Что есть «белый список»?

Сертифицированные ФСТЭК'ом ОСи.

То есть Mandriva 2008 и МСВС?

Зависит от категории персональных данных

Еще Альт, какая-то старая Шапка и что-то еще (не помню точно).

Судя по тому, что в «списке» есть мастдай, о защите никто и не думает. Распил чистой воды.

>Судя по тому, что в «списке» есть мастдай, о защите никто и не думает

И чем Windows не угодил?

Как-то с понятиями «защита» и «безопасность» эта фиговина не дружит :)

// точнее, дружит, если админ - не эникейщик, но юзвери в таком случае взбунтуются...

>с понятиями «защита» и «безопасность»

Если я правильно помню, в случае когда требуется сертифицированная ОС, комп не то что к инету не может быть подключен, доступ сотрудников к нему должен быть анально ограничен, кроме нескльких лиц, типа кадровика, начальника. ФСБшники требуют чуть ли не свинцом патчкорд заливать, чтоб при передаче по сети данных их нельзя было перехватить с улицы

>Как-то с понятиями «защита» и «безопасность» эта фиговина не дружит :)

Сертификация сводится к просмотру исходного кода на предмет закладок и технологических отверстий

Сертификация сводится к просмотру исходного кода на предмет закладок и технологических отверстий

Никто на сертификацию исходный код не предоставляет. Сказки это. Тем более просматривать миллионы строк на предмет закладок никто не будет. Это работа на года.

>оступ сотрудников к нему должен быть анально ограничен

++

чуть ли не свинцом патчкорд заливать

++

Впрочем, есть некоторый нюанс

С плановой проверкой приходит РосКомНадзор. Они не имеют права смотреть ИС предприятия - они только посмотрят бумажки, нет ли там ошибок вида «жи-ши-пиши-с-и» и немного посерьезнее.

Проверка ИС, ЕМНИП, будет в том случае, если на тебя прямой донос придет - дескать Вася Корпорейшн светит моими персональными данными. Тогда, если сильно не повезет, может наведаться ФСТЭК - тогда готов вазелин.

Есть варианты, когда в гости придет ФСБ - тут проще сразу в окно прыгать, выпотрошат все.

И да, не надо забивать на эти документы - нарваться на «приостановление деятельности» вполне реально.

какого хрена вообще?

а ты, ТС, думал можно у людей за просто так отбирать личную информацию и распоряжаться ею в своих целях? Или хранить ее так, что ею воспользуются совершенно левые люди. Вот закажешь ты в сексшопе «Black Governer» какой-нибудь, заведешь там карту постоянного покупателя, а база хоп - и утекла к веселым молодым людям. А в базе твой телефончик - задолбаешься ведь отбиваться.

Т.е. сертификаторы читали исходники мастдая? Ой да ладно...

>Никто на сертификацию исходный код не предоставляет

а вот, ЕМНИП, в регламентах всегда было указано, что предоставляют. Уже поменяли?

< а ты, ТС, думал можно....

я имел в виду-каким боком тут вообще технический специалист?

Этим занимается «офицер безопасности». В вашей конторе есть такой? Если нет, то решением начальства, ЕМНИП, эти обязанности могут быть возложены на имеющийся штат. Обычно за это доплачивают - потому что люди сутками сидят над законами и читаю «истории успеха».

Это физически невозможно.

Исходники мастдая у спецслужб давно есть

Ну, мелкомягкие же предоставляли исходники ХП, а вот читали или нет, это только у них выпытываь

в регламентах всегда было указано, что предоставляют. Уже поменяли?

Я просто не слышал чтобы кто-то предоставлял. Типа, дело гиблое в код смотреть. И за сертификацию сырцов совсем другие деньги.

я имел в виду-каким боком тут вообще технический специалист?

Разработать защищенную технологию работ. Кто лучше сисадмина это должен знать.
Начать с физического доступа к серверам, бакапам, печатным копиям...

Это длится не один день и даже не один месяц(обычно). Это раз

У ФСТЭК\ФСБ есть прорва контор, которые лицензированы и сертифицированы, с квалифицированным персоналом(как минимум несколько человек =)). То есть ресурсы есть. Это два.

Для подобных вещей есть(и вроде как уже давно) соответствующий инструментарий. Это три.

И четыре: в реальности все более прозаично и решается n-й суммой денег, за которую могут любую бумажку нарисовать.

Для слабеньких категорий - именно так и не иначе. Для высоких - видимо нет, раз для некоторых классов до сих пор нет ни одной софтины, хотя попытки были неоднократные. Instant fail

вроде с грифом СС так - обработка разрешена, но не существует ПО, которое бы прошло сертификацию. Считать можно, но нечем.

>я имел в виду-каким боком тут вообще технический специалист?

А как работают с этими самыми данными? 99,9% - на компьютерах. Установить нужное ПО, настроить доступ, разграничить права, сделать защищённую сеть... Казалось бы причём здесь айтишник?

> а вот, ЕМНИП, в регламентах всегда было указано, что предоставляют. Уже поменяли?

Даже если предоставят и его просмотрят, это еще не гарантирует, что закладок нет.