Доступна официальная информация по стоимости лицензий на сертифицированную операционную систему ROSA

Кстати, могу ли я сделать как оракл сделал с rhel: взять росу, поменять обои, сертифицировать и продавать?

Наверное запросто, сертифицировать не забудь только, а то не купят :)

4 тыс. МНОГО!

ненужность зашкаливает

В худшем случае будет как с мандривой. Все уже забыли как она сертифицировалась?

Как? Желательно с пруфлинками.

А ЛОР разве не обрабатывает персональные данные? Я ему доверил свой email, например, и не хотел бы, чтобы он попал в руки злоумышленников. Почему ЛОР не использует сертифицированную ОС?

ну LGPL, что докопался :) кроме того GPL не запрещает то что ты указал, я ничего не сказал про способ линковки

А ну да - лучше как в windows xp starter edition, которую активно продавали в африканских странах. Чтобы ОС могла запустить не более 3 приложений, и на каждое не больше стольки-то окон. Зато стоит в 3 раза меньше; то же ядро, но специально урезанные возможности.

P.S. Я тут мимопроходил, так что конкретные цены не буду обсуждать.

А тот же самый дистрибутив бесплатно поставить можно или в коробке какой-то другой дистрибутив, чем тот что выложен на ftp?

сдесь

Это где?

За возможность использовать сертифицированную систему там, где по закону должна быть сертифицированная система

да это понятно. Я по этому поводу и возмущаюсь что гос-во только и занимается вставлением палок в колёса. Скоро поссать сходить нельзя будет без разрешения сверху.

Я бы ещё согласился с некими политиками безопасности, типа если есть персональные данные то должны устанавливаться апдейты безопасности не реже чем раз в неделю, не делать короткие пароли, не выставлять голой жопо БД в инет.

А навязывание говноподелок никак безопасность не улучшит.

Это где?

хз где, скажу где на хабре. В комментах про мсвс. Ну и я написал письмецо чувакам которые занимаются сертифицированием по вопросу «шо эта и скока стоит». Посмотрим что ответят. Мне отчего-то кажется что вообще проигнорят ибо госконтора.

утечка в любом случае возможна с ненулевой вероятностью

С ненулевой вероятностью вы можете прямо сейчас умереть от остановки сердца.

По сабжу: может кому-то и надо...

Ну почему ни одна контора не может просто пересобрать CentOS и Debian, сертифицировать и продавать?

Возможно, потому, что без напильника она не удовлетворяет этим требованиям?

По теме: чем она лучше/хуже чем trusted solaris? Кроме устаревшего ПО в последнем?

Как? Желательно с пруфлинками.

эх, пардон, не нахожу линков :( Шум был что те товарищи что сертифицировали мандриву сидели в том же здании что и сертифицирующий орган. Увы, что-то эта тема не гуглится и не подтверждается. Понимаю, без пруфов не интересно

За такую сумму проще оффтопик купить

Покупай, на здоровье. Только паки местных сертифицированных патчей для доведения винды до соответствия данным требованиям безопасности (фух, выговорил) обойдутся еще в такую же сумму, если не дороже.

Кстати, заметили что роса отвечает только на те вопросы на которые удобно отвечать?

Удобно отвечать на те вопросы, где видно, что человек честно хочет или что-то узнать, или видно, что задающий вопросы владеет хоть какой-то матчастью по сабжу. Большинство задающих вопросы ни к какой категории не относятся. Кроме того, я дополнительно уточняю детали у наших специалистов, поэтому сами понимаете, я не могу себе позволить передавать им вопросы, на которые ответить вообще невозможно, потому что люди просто не в теме. С другой стороны я понимаю, что безграмотность вопрошающих легко устранить ликбезом, но я морально ещё не готова его проводить на ЛОРе. Ликбез всё-таки проведите для себя сами.

естественно,впаривалка работает.

И да, ещё раз хотелось уточнить, что основное назначение этого топика — донести информацию по ценам, потому что про это спрашивали в предыдущей теме по ФСТЭК и Росе.

Ликбез всё-таки проведите для себя сами.

тогда не создавай такие новости. Народу в первую очередь интересует два вопроса: нахрена это нужно и какая работа была проделана.

Не стоит удивляться тому что никто не хочет платить за какой-то очередной велосипедный дистр единственное достоинство которого заключается в наличии бесполезной (с технической точки зрения) бумажки. Ну покажите нам тесты которые прошли и патчи которые вы внесли по требованию надзорных органов. Что-то мне подсказывает что 99% работы было бумажной и дистра вообще не коснулось.

В общем, как всегда административный ресурс находит всё новые и новые способы доить предпринимателей.

Т. е. либо живем на сертифицированной системе, но установленных свежих обновлений, в т.ч. обновлений безопасности, либо на не сертифицированной, я правильно понял?

В реальности ты строишь систему из сертифицированных компонентов, потом сдаёшь её около накрытого стола высокой комиссии при погонах и получаешь ещё один сертификат, уже на весь комплекс, потом получаешь отмашку и вводишь всё это в эксплуатацию.

А потом делаешь всё по-нормальному.

man категории персональных данных

Отлично! Поставлю на туалетный сервачок.

А навязывание говноподелок никак безопасность не улучшит.

Как тебе сказать. Если ты крутой спец, ты сделаешь нормально, любой неизвестный лично тебе дистрибутив или ПО будут только мешать. Но если ты эникейщик и сидишь в фельдшерском пункте посередь тайги, где спросить-то особо некого, то лучше ставить всё сертифицированное — по крайней мере, изначально небезопасно настроенных сервисов там не будет и какие-никакие рекомендации в РД есть.

Т.е. построение сертифицированной системы — это в первую очередь против совсем кривых рук. Прямым будет только мешать.

Возможно, потому, что без напильника она не удовлетворяет этим требованиям?

CentOS? Вряд ли. Скорее потому, что не нашлось желающих сделать бизнес.

Впрочем, есть в Питере такию люди, как Linux ink, могут и захотеть сделать.

Не стоит удивляться тому что никто не хочет платить

А кто у нас сегодня исполняет роль г-на Никто?

640 Мб. оперативной памяти (рекомендуется от 768 Мб);

какие знакомые числа (640 хватит всем , 768 - ежель откажитесь от графического режима)

прогресс в 30 лет дал в 10^3 (точнее 2**10) больше места и с верхней на нижнюю границу.

с юмором у вас всё хорошо.

Но если ты эникейщик и сидишь в фельдшерском пункте посередь тайги

То тебе уже ничто не поможет. Что я виндов и виндовых админов не видел что ли?

изначально небезопасно настроенных сервисов там не будет и какие-никакие рекомендации в РД есть.

Ну так давайте мануал выпустим по безопасной настройке серверов. Типа не выставлять БД наружу итп. Давайте тогда действительно бороться с неграмотностью админов и дырявостью серверов. А пока это всё бюрократия. Кстати, пруфы будут что, скажем, роса или мандрива (sic!) более безопасны из коробки чем какая-нить убунта? Или опять теоретизируем «раз есть бумажка значит этот дистр более безопасен потому что есть бумажка»?

Прямым будет только мешать.

о том и речь.

Да, ребята, я прихожу к мнению что если сертифицировать то оконечные системы. И чтобы у органов были чёткие критерии оценки, причём автоматизированные.

Я бы сделал такие тесты:

1) чтобы не было ненужных сервисов

2) не было простых словарных паролей и защита от подбора

3) были минимальные правила на фаерволе

4) были настроены регулярные обновления

5) не стояло дырявого софта типа phpBB древней версии

6) разумная изоляция сервисов (чтобы при взломе одного не поломали остальное и не вскрыли сетку).

А то что вонючий ФСТЭК предлагает это типичный бизнес по-русски.

С другой стороны я понимаю, что безграмотность вопрошающих легко устранить ликбезом, но я морально ещё не готова его проводить на ЛОРе. Ликбез всё-таки проведите для себя сами.

А не могли бы вы морально подготовиться и ответить на один вопрос из категории ликбеза. Вот есть prestine sources от разработчиков. Вот в нем нашли дырку. Фиксить ее скорее всего будут разработчики. Несертифицированные дистростроители просто принимают patch и выпускают обновление. Сертифицированные вынуждены перед этим проходить какие-то бюрократические процедуры. Пока вся машина проворачивается, дырка остается открытой. Таким образом получается, что установка сертифицированной системы есть намеренное ослабление защиты в угоду бюрократии?

Еще вопрос. Сертификаты выдаются на ограниченное время? Если нет, верно ли, что из соображений экономии можно остаться на неподдерживаемой версии софта, иметь кучу известных дыр и все бумаги в порядке?

ответить на один вопрос из категории ликбеза. Вот есть prestine sources

pristine sources

остальной ликбез если и будет, то завтра уже.

я уже это спрашивал, без толку. Либо сами не знают, либо ответы им неудобны.

Друзья, а в чем вообще смысл этого ФСТЭКа, кроме как рубить бабло ?

То тебе уже ничто не поможет.

РД тебе поможет.

Что я виндов и виндовых админов не видел что ли?

Настраивающих сервера для обработки персональных данных? Не видел ты их, инфа 100%. Если бы видел — не спрашивал бы.

Ну так давайте мануал выпустим по безопасной настройке

серверов.

Так он уже есть.

Кстати, пруфы будут что, скажем, роса или мандрива (sic!) более безопасны из коробки чем какая-нить убунта?

А зачем? Я тебе больше скажу, какая-нибудь OpenBSD с параноидальными настройками будет куда безопаснее. Что это меняет? Ничего это не меняет, на сертификацию отдали Росу, Роса её прошла, значит настройка из коробки удовлетворяет больших дядь.

А в чём ты измеряешь безопасность, какая разница.

Да, ребята, я прихожу к мнению что если сертифицировать то оконечные системы.

А сертифицировать надо и компоненты системы и готовую систему.

А то что вонючий ФСТЭК предлагает это типичный бизнес по-русски.

А то, что у вонючих американцев и европейцев сделано также, как у вонючего ФСТЭК-а, точнее наоборот, у них это было сделано несколько раньше — так это ФСТЭК виноват, ага. Причём палку первенства несут именно европейцы, у них там государств много, стандарты разные, проблема всплыла раньше.

Только вот у них сделано по другому — вместо нескольких разных уровней сертификации сделано несколько разных сертификатов. В результате получить многочисленные сертификаты сложнее, а пользователям, наоборот, проще.

чем оно лучше кальки? почему я должен платить него деньги?

Вы - не должны. За него должны платить деньги госорганизации, потому что этот дистрибутив сертифицирован другой госорганизацией.

ненужное ненужно да еще и за лаве.

одним словом - вымогатели

Правильно тут говорят: в данном случае покупают не ОС, покупают бумажку. И покупают исключительно те, кому эта бумажка РЕАЛЬНО нужна. Поэтому не нахожу оснований для беспокойства остальной части пользователей.

Вам надо ник на true_navalniy сменить. И, мимопроходя, хотелось бы отметить несколько моментов, которые мне в последнее время очень нравятся и вообще кажутся на редкость забавными.

!Ъ && tl;dr версия: читайте «восстание масс» и «психбольница в руках пациентов» до полного вразумления. Первый труд, к слову, нынче входит в курс философии, хотя всем пофигу как обычно.

Не стоит удивляться тому что никто не хочет платить за какой-то очередной велосипедный дистр единственное достоинство которого заключается в наличии бесполезной (с технической точки зрения) бумажки

Есть у меня один знакомый менеджер-инженер-программист, который ведёт у нас небольшой, с позволения сказать, клуб студентов (сам он давно выпустился). Интересный человек, и говорит интересные вещи. Как-то сказанул про одну малоизвестную фирмочку буквально следующее: «майкрософт приучает всех самим дописывать всё нужное под свои продукты» - пауза, робкий смех, повернулся ко мне - «а опенсорс приучает людей работать бесплатно».

Так вот он прав. Сама жесть опенсорса состоит в том, что он всегда и всеми воспринимается как халява, причём аргументы этому приводят самые разные и всегда безумные. При этом быть поклонником опенсурса и платить за него деньги считается чем-то постыдным; в проприетарщине - наоборот. Люди покупают телефоны nokia просто потому, что их сделала nokia, но называют красноглазиками и рабами Столлмана тех, кто не любит несводный софт. Люди фанатеют от мака, но не считают сравнимую по дизайну убунту за ОС - просто потому, что она бесплатна, и на скачавшего её человека можно залупаться (ай, грубо сказал, ай нехорошо) сколько угодно. Справедливости ради, на ЛОРе многие покупали диски с линуксом - и это правильные люди, и они вправе гордиться этим.

Идём дальше. Государство - это в определённом роде тоже фанат чьей-то продукции, не хуже дизайнера с айфоном. Ему нравится софт, который проверяли конкретно здесь, и ему не нравится софт, который обслуживают иностранцы для иностранцев, реагирующие в первую очередь на проблемы иностранцев, с багзиллой и техподдержкой для иностранцев. Хотите работать с госструктурами - учитывайте интересы клиентов. А то как фотошоп + винду + ворд купить, так не по своей воле же - ведь «Клиент всегда прав». А как купить что-то ради госконторы - так крики тут же «Распил! Распил!».

А насчёт результатов и громких фраз... Оптимистичнее надо быть. Вон, в США в своё время шаттл Челленджер взорвался с семью космонавтами, и какова реакция людей? Они апплодировали стоя. Спустя 20 лет потеряно управление беспилотным (sic!) фобос-грунтом, и что началось?

Кстати говоря, Роса следует путём убунты и мака: их патчи не добавляют новые ненужные функции, а делают более внятными старые; они точно так же стараются дать человеку понятные и правильно работающие вещи, а не все, что компилируется; и так же ищут себе личные преимущества (у Apple - компания айдобе, которую они же и вырастили и которая им предана, у Ubuntu - лаунчпад и лавры дебиана, у Росы - статус НПП).

Ещё хотелось бы отметить удивительное мышление, которое присуще всем и которым большинство почему-то гордится. Выражается в трёх фразах: «хотите денег - ставьте донат, а не мешайте пользователю», «я не буду писать опенсорс, потому что мне не платят за это» и «у сублайм текста окошко с просьбой заплатить вылазит при сейве - ну я и заплатил, авторы заслужили».

В общем, как всегда административный ресурс находит всё новые и новые способы доить предпринимателей.

Так говорите, будто в этом есть что-то плохое

Самое главное ты не уловил. Я нигде не пишу про халяву. Покажите мне патчи за которые я должен заплатить 17тыщ руб за каждый сервер?

ААаа, то-то и оно что дело тут не в технической плоскости.

Остальное комментировать не буду, сосредоточимся пока на этом.

PS а опенсорц это такое же ПО и как и остальное, не надо сюда примешивать лицензию. Или винда она сама настраивается и из коробки всё делает? то-то же.

Покажите мне патчи за которые я должен заплатить 17тыщ руб за каждый сервер?

А что, у вас уже вымогают? Вот ФСБшникам походу уже показали патчи с бекдором, раз статус дали. Начнут с лоровцев требовать по 17 тыщ за каждый сервер - тогда, наверное, и патчи покажут.

Это кстати уже 3-й раз в теме звучит, кажется, предыдущие два раза от неизвестного анонимуса.

P.S. в третий раз прохожу мимо, ну шо такое

А что, у вас уже вымогают?

наверно, я биллинг одной немаленькой компании поддерживал... До того как трактор завёл. Так вот биллинг был не на росе и не на мандриве. И даже не на альте.

в третий раз прохожу мимо

да я вижу что ты проходишь мимо. Сказать-то по теме нечего, всё сводится к тому что «это надо потому что надо», «большой дядя сказал — всем выполнять!» и «опенсорц не значит на халяву».

Ну естественно нечего. Во-первых, я мимопроходил и ко всему этому не имею отношения, и на ваш вопрос даже не пытался ответить, а просто пооффтопил, как и вы, кстати. Во-вторых, сам вопрос из разряда «Нвидиа требует с китайцев 10 млн. долларов за доработку дров, почему я должен платить 10 млн. долларов, покажите мне патчи?». Ответить тут можно только одно:

QLorUser::fromLorNickname("true_admin") != China::allChinese()

ROSA 2012 Marathon представлена в двух редакциях: Free (включает только свободные компоненты) и Extended Edition (с предустановленными кодеками и бесплатными проприетарными компонентами). Таким образом пользователи могут следовать духу «полностью свободного ПО» и получать работающую систему «из коробки».

Какой наглый троллинг чисто свободного ПО!

Простите, а что такое «4 уровень контроля от недекларированных возможностей»?

Также хочу отметить, что 5 класс защиты информации от несанкционированного доступа, это очень мало! Хуже только 6 класс, где даже регистрация событий не обязательна. 5 класс отличается только наличием регистрации событий (логи ведутся, типа) и наличием контроля целостности критичных файлов (контрольные суммы на исполняемых файлах скорее всего). Еще в требованиях к 5 классу зашиты значится некая очистка памяти, что по сути (для 5 класса) означает, что система будет блокировать любые попытки считать освобожденную после завершения работы АС область памяти. Не знаю, не могу судить, работает ли это реально... Выглядит сомнительно.

это не нужно рядовым пользователям, которые не боятся утечки своих персональных данных

А что, бумажка с печатью способна как-то защитить от утечки данных?

Научились у Russian Fedora.

На винде немного сложнее, чем на линях. У Мастдая сертифицирована только ОС и Офис. Если использовать только их - то проблем не возникнет. Но тогда нет возможности пользоваться, например архиватором. Поставишь 7zip - на него нет сертификации - брешь. Поэтому после того как установили все компоненты для работы сотрудника - зовем «проверку» (в качестве которой могут выступать и сторонние компании), которая за бабло «проверяет» каждое рабочее место, и в итоге выдает сертификат, что все компоненты системы безопасны, включая 7zip, Браузер, программы для сдачи отчетности и т.д.

С Линуксом все намного проще - все необходимые компоненты для работы - уже часть системы, и соответственно уже прошли сертификацию. Поэтому можно ставить на десктоп ssh, sql, и все что угодно, что является компонентами сертифицированной системы. То что «товарищ» написал выше: «можешь, но никому не говори» - Чушь! Компонент является частью сертифицированной системы и его можно ставить на рабочее место!

С другой стороны, к хранилищам данных тоже предъявляются требования безопасности. Отдельное помещение, ограниченный доступ посторонним лицам. Так что, поставить какую-нить ERP (серверную часть) на десктопное место тоже не удастся. Хотя все компоненты, необходимые для этого и возможно установить на рабочее место, все же на рабочем месте недопустимо хранить такую информацию. Для этого то и есть сертифицированный серверный вариант. То что люди «предпочитают» Дебиан, РэдХат или СендОС - это надзорные органы не волнует. Если на серверах будут храниться и обрабатываться персональные данные - то только сертифицированное ПО. А из Линуксов выбора не так много, хотя есть и альтернатива Росе.

Что касается обновлений, то да - самое свежее ПО не поставишь. только то, что прошло сертификацию и есть в репах.

Кто то еще говорил: «Если ты разработчик, то тебе не нужно - ставь что угодно», то же верно лишь отчасти. Ведь данное рабочее место может находиться в одной ЛВС с местами, где ведется работа с персональными данными, а значит с него можно получить доступ к таким данным, что не допустимо. Следовательно...

Что касается сетки - тоже не все гладко. Возможно все же придется докупать специфическое оборудование... Все же лучше пригласить стороннюю контору, которая приведет парк ПК в вашей конторе в соответствие с требованиями ФЗ.

Знакомый коллега в своей конторе поступил очень своеобразно. У него персональные данные обрабатываются на машинах 10 - не больше. Выделил для них сервер и вогнал их в отдельную сеть. Свичи заменил на Циски с ведением логов, которые сбрасывались на тот же сервер. Остальные сотрудники в другой изолированной ЛВС. Соединение только на выходе в инет через шлюз. Обмен данными с тех рабмест через сертифицированную программу. Приглашали «проверку», которая хоть и сделала несколько мелких замечаний, но все же в целом «проверку» прошли успешно.

Если посчитать стоимость всех сертифицированных компонентов на Винде - то получается много больше. Только учитывай, что только этими компонентами ты не обойдешь, и будешь ставить стороннее ПО, а значит придется проводить дополнительно сертификацию готового рабочего места, что тоже стоит бабла. В целом 4 тыс за сертифицированное рабочее место для обработки перс.данных - не так много.

Предложи другие варианты... для рабочих мест, на которых требуется вести обработку персональных данных в соответствии с федеральным законодательством, в частности с 152-ФЗ!

Есть определение персональных данных, в соответствии с федеральным законодательством. Твой e-mail не попадает под описание.

Кроме того - тебя никто не заставляет указывать свои реальные персональные данные. Другое бело банки, страховые, больницы - там ты обязан предоставить свои реальные персональные данные, а подобные организации несут ответственность за их сохранность.

Не путайте понятия.