предположил логичечски. посмотрите тут http://www.red-soft.biz/ru/about_about.html, может заинтересует.
» Вы уже обеспечили защиту персональных данных на предприятии?
patsev anton
Спасибо !
Цитата:
Всё таки видимо проще переписать. Написано сие чудо на Delphi 7, есть исходники.
Другое дело, что толстый клиент (трехзвенка) внастоящее время - нонсенс (в распределенной системе масштаба города).
Спасибо !
Цитата:
Проще не значит дешевле.
Если есть возможность сертифицировать Firebird, то это будет дешевле.
Всё таки видимо проще переписать. Написано сие чудо на Delphi 7, есть исходники.
Другое дело, что толстый клиент (трехзвенка) внастоящее время - нонсенс (в распределенной системе масштаба города).
Попробуйте сертифицировать FireBird. Думаю вы не одиноки. Мы все в одном месте.
Жалко, что в результате всего этого будут прийдется растаться с толковым бесплатным ПО.
поправьте, если я буду неправ:
По поводу сертификации. допускается сертифицировать от 1 до Nшт. конкретных изделий. Либо серию(серийное производство). Серия требует сертификации процесса проектирования и разработки, распостранения. Может не сколько сертификации, а соответствия требоваиям. Т.е. нужна официальная контора на территории РФ с первым отделом и прошедшим проверку месным персоналом. В том числе разработчики, которые будут знать предмет и оперативно устанять замечания уполномоченых органов. Каждый релиз нужно сертифицировать
обновления тоже. 
Нужен репозитарий и работать он должен на основе сертификатов + криптография канала. Про сертификацию пакетов(приложений) Вообще молчу. Т.е. надо будет вести свою ветку ПО и пакетов (типа спецверсия для RISC процессоров). только здесь прийдется менять не только ядро ОС, драйверы, но и большую часть кода+Создавть_аналоги_критичных_служб(НСД/криптография)/импланты. Это по уму. И это почти нереализуемо на бесплатной основе. Если только .... спонсоры не сбросятся. для выполнения хотя бы "формальных" критереев по сертификации.
ВСЕМ ЧИТАТЬ и думать.
Вот. нашел некоторые материалы по сертификации gentoo. У других, думаю, дела обстоят не лучше: http://www.gentoo.ru/node/16191.
И топик из оф. форума(близкого к ФСТЕКу ) о заморочках при сертификации производителем своего ПО http://www.itsec.ru/forum.php?sub=3459&from=0
Тамже. Сертификат ОС не 100% панацея и возможно прийдется раскошелиться на защиту дополнительными средствами. http://www.itsec.ru/forum.php?sub=3556&from=0
поправьте, если я буду неправ:
По поводу сертификации. допускается сертифицировать от 1 до Nшт. конкретных изделий. Либо серию(серийное производство). Серия требует сертификации процесса проектирования и разработки, распостранения. Может не сколько сертификации, а соответствия требоваиям. Т.е. нужна официальная контора на территории РФ с первым отделом и прошедшим проверку месным персоналом. В том числе разработчики, которые будут знать предмет и оперативно устанять замечания уполномоченых органов. Каждый релиз нужно сертифицировать
обновления тоже. Нужен репозитарий и работать он должен на основе сертификатов + криптография канала. Про сертификацию пакетов(приложений) Вообще молчу. Т.е. надо будет вести свою ветку ПО и пакетов (типа спецверсия для RISC процессоров). только здесь прийдется менять не только ядро ОС, драйверы, но и большую часть кода+Создавть_аналоги_критичных_служб(НСД/криптография)/импланты. Это по уму. И это почти нереализуемо на бесплатной основе. Если только .... спонсоры не сбросятся. для выполнения хотя бы "формальных" критереев по сертификации. ВСЕМ ЧИТАТЬ и думать.
Вот. нашел некоторые материалы по сертификации gentoo. У других, думаю, дела обстоят не лучше: http://www.gentoo.ru/node/16191.
И топик из оф. форума(близкого к ФСТЕКу ) о заморочках при сертификации производителем своего ПО http://www.itsec.ru/forum.php?sub=3459&from=0
Тамже. Сертификат ОС не 100% панацея и возможно прийдется раскошелиться на защиту дополнительными средствами. http://www.itsec.ru/forum.php?sub=3556&from=0
Вчера на "круглом столе" представители ФСБ и ФСТЕК было решено пренести дату 1 января 2010 года на январь 2011 года.... Сам присутствовал, сам слышал.....
dbf
Цитата:
Не смешно даже...
Цитата:
Вчера на "круглом столе" представители ФСБ и ФСТЕК было решено пренести дату 1 января 2010 года на январь 2011 года.... Сам присутствовал, сам слышал.....
Не смешно даже...
да я и не смеюсь... дело теперь за официальным заявлением , если этот вопрос продвинут.
Добавлено:
http://amulet-group.ru/news.htm?id=1580
Добавлено:
http://amulet-group.ru/news.htm?id=1580
Цитата:
http://amulet-group.ru/news.htm?id=1580
Довольно обтекаемый контент
Цитата:
Сам присутствовал, сам слышал- значит и стенограмма есть
Так все таки как задачу прикладную задачу, обрабатывающие эти самые данные надо сертифицировать надо или нет?
Классификация персональных данных.
блин во придумали чтобы защитить персональные данные надо пригласить комерческую организацию у которой партнёрство с фстеком чтобы она разработала и частично внедрила защиту этих персональных данных, за не хилые деньги, причём сотрудники этой организации которые будут заниматься внедрежом и круг персонала связанный с этой задачей будут знать все уязвимые точки данного предприятия фирмы, типа получается чтобы сохранить гос тайну скажи её своему другу, а текучка присутствует как в гос так и в комерческих структурах неговоря уже о просто коррупции , ладно это фигня по сравнению с затратами на данное мероприятие, его хоть в бюджет заложили?
надо пригласить комерческую организацию у которой партнёрство с фстеком чтобы она разработала и частично внедрила защиту этих персональных данных, за не хилые деньги, причём сотрудники этой организации которые будут заниматься внедрежом и круг персонала связанный с этой задачей будут знать все уязвимые точки данного предприятия фирмы, типа получается чтобы сохранить гос тайну скажи её своему другу, а текучка присутствует как в гос так и в комерческих структурах неговоря уже о просто коррупции , ладно это фигня по сравнению с затратами на данное мероприятие, его хоть в бюджет заложили? Цитата:
частично внедрила защиту этих персональных данных
VIPnet установка и настройка - только дескать оне сами, хотя на www.infotecs.ru - нет таких требований.
Цитата:
...по сравнению с затратами на данное мероприятие, его хоть в бюджет заложили?
Закладывать в бюджет стихийное бедствие
даже не смешно Может некомерческое партнерство по сертификации свободного ПО организовать?
Аналогичную идею высказали в этой теме: "InfraLinux, GPL, исходные тексты." http://community.i-rs.ru/index.php/topic,9001.0.html
Там про <лицензирование> а не про <сертификацию>,
Если я правильно понимаю, для сертификации ФСТЭКом какого-либо ПО(т.е. даже определенной версии) кто-то должен проявить инициативу и проплатить (например как разработчики ALT-Linux). Например чтоб сертифицировать Debian, какая нибудь контора должна так же проявить инициативу(наверное подать заявку или что-то подобное) и оплатить данную услугу. Но так-как такой конторы не существует, то Debian так и останется несертефицированным ФСТЭКом-((((
Вот такую контору я и предлагаю организовать.
Юристы вон...осилили что-то на подобие : Некомерческое партнерство "ЮрКлуб" (Ссылка)
а сисадминам слабо?
Если я правильно понимаю, для сертификации ФСТЭКом какого-либо ПО(т.е. даже определенной версии) кто-то должен проявить инициативу и проплатить (например как разработчики ALT-Linux). Например чтоб сертифицировать Debian, какая нибудь контора должна так же проявить инициативу(наверное подать заявку или что-то подобное) и оплатить данную услугу. Но так-как такой конторы не существует, то Debian так и останется несертефицированным ФСТЭКом-((((
Вот такую контору я и предлагаю организовать.
Юристы вон...осилили что-то на подобие : Некомерческое партнерство "ЮрКлуб" (Ссылка)
а сисадминам слабо?
Верно, в основном рассматривался вопрос лицензирования. Но, обратите внимание, что Debian не является разработкой субъекта российского права (проще говоря не российская разработка, хотя там и есть учасники россияне) поэтому и никакая российская организация не может выступать правообладателем на продукт GNU/Debian. Соответственно и подавать на сертификацию нельзя. Сертифицировать можно СВОИ разработки.
т.е. У свободного ПО шансов нет...жаль..а так все хорошо начиналось...
я на 10 антивирусов начальство 2 года крутил(сельское муниципальное учреждение), а на организацию защиты ПД вообще не реально...придется увольняться-)))
я на 10 антивирусов начальство 2 года крутил(сельское муниципальное учреждение), а на организацию защиты ПД вообще не реально...придется увольняться-)))
Orion_76
Цитата:
Не спешите. Там много нюансов.Все образуется.
Добавлено:
wellwisher
VIPnet тоже существует в двух вариантах с сертификатом ФСБ России и без него!
Установка по желанию, я ставил и настраивал сам, принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).
Цитата:
придется увольняться-)))
Не спешите. Там много нюансов.Все образуется.
Добавлено:
wellwisher
VIPnet тоже существует в двух вариантах с сертификатом ФСБ России и без него!
Установка по желанию, я ставил и настраивал сам, принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).
Orion_76 Не спеши. Хорошо только ТАМ, где НАС нет. Почитай мои посты
Все можно порешать. Главное делай все возможное, что зависит от тебя. Остальное оставь начальству. Почитай спокойно и неторопливо тему от начала.
Цитата:
Все можно порешать. Главное делай все возможное, что зависит от тебя. Остальное оставь начальству. Почитай спокойно и неторопливо тему от начала.
Цитата:
DonDD:Ставить сертифицированые системы, ПО выполнять работы может админ ИБ назначеный приказом по предприятию + доплатой за секретность+ и естесттвенно ознакомленый с этим под роспись. Про допуск не уверен. Или подрядная организация с соответствующей лицензией, договором.
Установка по желанию, я ставил и настраивал сам, принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).
oaf56
Цитата:
комерчиская или государственная?
Цитата:
Или подрядная организация с соответствующей лицензией, договором.
комерчиская или государственная?
lovec123
Цитата:
со смешанным капиталом
Цитата:
Цитата:
комерчиская или государственная?
со смешанным капиталом
Цитата:
принудиловки и жестких требований на эту тему нет (во всяком случае год назад не было).Ой ли... Намекали даже, что кабель (UTP) не того производителя, не сертифирован ФСТЭК. А будете дескать мудрить...
Цитата:
lovec123
oaf56 Цитата:Или подрядная организация с соответствующей лицензией, договором.
комерчиская или государственная?
А в чем разница, если отвечает все равно оператор. Главное чтобы грамотными были, может что подскажут по делу. А может будешь по 10 раз объяснять, пока и сам не поймешь.
Вчера собирали на семинар в региональном министерстве по данному вопросу, коротко объяснили суть проблемы, намекнули пути решения (самостоятельно или через конторы-лицензиаты, дали начальный список необходимой документации, первый по списку документ - Приказ о назначении администратора ИБ.
oaf56
Цитата:
Не могли бы Вы подсказать документы, регламентирующие вменение данной обязанности сотруднику(размеры доплат, служебные обязанности и т.д.)..Ато как то не хочется такое ярмо за "просто-так" тащить-)))
oaf56
Цитата:
Ставить сертифицированые системы, ПО выполнять работы может админ ИБ назначеный приказом по предприятию + доплатой за секретность+ и естесттвенно ознакомленый с этим под роспись.
Не могли бы Вы подсказать документы, регламентирующие вменение данной обязанности сотруднику(размеры доплат, служебные обязанности и т.д.)..Ато как то не хочется такое ярмо за "просто-так" тащить-)))
Цитата:
(из шапки)
Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.
Вот это, собственно, откуда вытекает?
Из 19-й статьи вроде никак...
oaf56
Цитата:
разница в том что сохранять секретность - при том что уязвимости системы известны сторонней комерческой организиции по идее сложнее, разве не так? я понимаю если это будет делать тот же фстек где у сотрудников обязанность о не разглашении и тп, что помешает тому человеку который вчера промогал нам аттестовать сеть, вскрыть все недостатки и уязвимости системы, зная о них, даже возможно утаив часть из них, завтра не слить эту информацию знакомому хакеру? и при этом по шапке получит оператор может я чего то просто не допанимаю, объясните пожалуйста
Цитата:
А в чем разница, если отвечает все равно оператор.
разница в том что сохранять секретность - при том что уязвимости системы известны сторонней комерческой организиции по идее сложнее, разве не так? я понимаю если это будет делать тот же фстек где у сотрудников обязанность о не разглашении и тп, что помешает тому человеку который вчера промогал нам аттестовать сеть, вскрыть все недостатки и уязвимости системы, зная о них, даже возможно утаив часть из них, завтра не слить эту информацию знакомому хакеру? и при этом по шапке получит оператор может я чего то просто не допанимаю, объясните пожалуйста
Вот что наше по данному вопросу.
При приобретении продукта от "Kaspersky" выдается вот такой сертификат:
http://images.kaspersky.com/ru/certificates/fsb_cert_winfls60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_kav60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_adminkit60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_lin_wksfls.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_adminkit60.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_kav60.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_winfls60.jpg
Добавлено:
Не совсем правильно написал Лаборатория Касперского имеет данные сертификаты
При приобретении продукта от "Kaspersky" выдается вот такой сертификат:
http://images.kaspersky.com/ru/certificates/fsb_cert_winfls60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_kav60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_adminkit60.jpg
http://images.kaspersky.com/ru/certificates/fsb_cert_lin_wksfls.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_adminkit60.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_kav60.jpg
http://images.kaspersky.com/ru/certificates/fstek_cert_winfls60.jpg
Добавлено:
Не совсем правильно написал Лаборатория Касперского имеет данные сертификаты
интересно когда каспер следующие версии админ кита с пакетами сертифицируют, шестёрка конечно хороша но пожилая уже собственно только из за сертификата и не переходим на более свежие решения
собственно только из за сертификата и не переходим на более свежие решенияКак нам сообщил наш поставщик антивирусного ПО, в новой версии "Kaspersky
Business Space Security" имеется такой сертификат.
Этот вопрос я уточню и ответ выложу, правда только не раньше вторника.
Business Space Security" имеется такой сертификат.
Этот вопрос я уточню и ответ выложу, правда только не раньше вторника.
вообщето вроде как пора поднимать вопрос как о недоработке этого закона так и о целесообразности его, с первого взгляда закон имеет явную комерческую подоплёку потому как в сметы заряжают нехилые суммы которые получат конкретные фирмы, мы уже сейчас купили за нехилые деньги программы которые нужны для галочки так смысл этого? сдесь есть представители фстека для разьяснения зачем это закон нужен? и обьясните если можно более подробно чем просто для защиты персональных данных?
потому как в сметы заряжают нехилые суммы которые получат конкретные фирмы, мы уже сейчас купили за нехилые деньги программы которые нужны для галочки так смысл этого? сдесь есть представители фстека для разьяснения зачем это закон нужен? и обьясните если можно более подробно чем просто для защиты персональных данных?lovec123
Ух, А я то думал, что я один такой параноик.)
Ну. Вообще то лицезианты должны иметь лицензию. У них должны быть условия ее выдачи и отзыва. ИХ Сотрудники должны иметь квалификацию(наверно и сертификат об обучении), допуск и подписку о неразглашении инф. которую они получат при выполнении своих служебных обязаностей. Я думаю ты в праве потребовать предъявить подобные документы. Кроме этого при оказании услуг на основе договора можно "попросить" включить пункты об ответственности исполнителя за разглашение любой информации о ВАШЕЙ КОНТОРЕ без вашего ПИСЬМЕННОГО согласия на это. Проблема в том, что доступ к документации будет иметь не только прямой исполнитель. Да и доказать это будет БОЛЬШОЙ проблемой.
Какой ни какой, порядок конечно нужен. Только хотели как лучше получилось как всегда...
Если таковые здесь и есть и будут, то только по "по долгу службы". Но это решение не их уровня. И не им его отменять.
Цитата:
Да. еще мелочь. Если вы уж выберите шифрование данных, то и остальные компоненнты защиты должны быть ТОЖЕ высокого уроввня. начиная от НСД, контроля запуска приложений, спец требований к ОС и приложению.
Ух, А я то думал, что я один такой параноик.
) Ну. Вообще то лицезианты должны иметь лицензию. У них должны быть условия ее выдачи и отзыва. ИХ Сотрудники должны иметь квалификацию(наверно и сертификат об обучении), допуск и подписку о неразглашении инф. которую они получат при выполнении своих служебных обязаностей. Я думаю ты в праве потребовать предъявить подобные документы. Кроме этого при оказании услуг на основе договора можно "попросить" включить пункты об ответственности исполнителя за разглашение любой информации о ВАШЕЙ КОНТОРЕ без вашего ПИСЬМЕННОГО согласия на это. Проблема в том, что доступ к документации будет иметь не только прямой исполнитель. Да и доказать это будет БОЛЬШОЙ проблемой.
Какой ни какой, порядок конечно нужен. Только хотели как лучше получилось как всегда...
Если таковые здесь и есть и будут, то только по "по долгу службы". Но это решение не их уровня. И не им его отменять.
Цитата:
eeeeeeВот это, собственно, откуда вытекает?Читаешь Методические рекомендации И регламентирущие документы. Почитай. Там при высоких требованиях к защищаемой инфе, либо угрозах выбирается шифрование. Логин и пароль подберут и данные стащут. А здесь типа стащут, а использовать не смогут. По идее надо шифровать на на лету и только самим приложением/(БД) Т.е. интегрировать в ядро приложения. шифрование на уровне ОС будет не сильнее чем стойкость учетных записей для доступа к каталогу таких данных. Криптография это не только, шифрование Файловой системы, но и трафика(типа SSH/IPSEC), Сертикаты/Ключи_ЭЦП, Аутентификация на базе сертификатов, Удостоверяющие центры и наверное много чего еще... А Это системы защиты, которые должны быть обязательно сертифицированы.
Из 19-й статьи вроде никак...
Да. еще мелочь. Если вы уж выберите шифрование данных, то и остальные компоненнты защиты должны быть ТОЖЕ высокого уроввня. начиная от НСД, контроля запуска приложений, спец требований к ОС и приложению.
А есть ли 4 закрытых документа в электронном виде? Не очень верится, что нет )))) Можно в личку.
Страницы: 12345678910111213141516171819202122232425
Предыдущая тема: "Не удалось подключиться к контроллеру домена..."
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.