На перспективу.

SkvITy

New member
Сообщения
68
#41
может имеет смысл делать SE для ПК конкретно спец назначения, а не совать его во все щели? то есть для концелякии отдела кадров с соответствено тех где необходима секретность, а для обычных пользователей релизы которые может и имеют меньше сертификатов но имеют нормальную систему обновления ?
Дык обоснуй руководству, что на компьютерах, где нет ПНД и прочей ереси, нужно ставить обычную версию, а вдруг прокатит 😉
 

Alex Orion

New member
Сообщения
18
#42
Так для этого и есть деление на SE и CE.
По нашему законодательству любая сертифицированная ОС имеет такой процесс выпуска обновлений.
Дык обоснуй руководству, что на компьютерах, где нет ПНД и прочей ереси, нужно ставить обычную версию, а вдруг прокатит 😉
только в мечтах Это ж военные если сказано круглое носить квадратное катать другой альтернативы нет
 

SkvITy

New member
Сообщения
68
#43
только в мечтах Это ж военные если сказано круглое носить квадратное катать другой альтернативы нет
Даже ответить нечего, но если смотреть по другому софту (випнетам, далласам, криптопро и тд) все так и будет через анал... Если сейчас у астры нет нормальных мануалов, то они в ближайшие лет 10 и не появятся.
 

Montfer

New member
Сообщения
365
#44
То есть если вы нашли уязвимость в дистрибутиве вы не можете обновить его до выпуска следующего дистрибутива SE, так как текущий выпуск уже заморожен и неизменен по сертификатам ФСТЭК ФСБ и тд
для SE 1.5 выкладывались бюллетени безопасности
 

Santi

New member
Сообщения
10
#47
для SE 1.5 выкладывались бюллетени безопасности
А толку то от них если в регламентах МО в принципе нет понятия "обновление" и при сертификации по линии МО установка этих бюллетеней равнозначна установке в ОС какого-то левого софта, к/с которого не бьются, сертификатов на НДВ для которого нет и т.п.

Позиция военных простая: "Мы же дали сертификат, свидетельствующий о том, что ОС безопасна на момент сертификации - так как же она может стать не безопасной? Вы что, хотите сказать, что мы сертифицировали что-то небезопасное и с дырами? Так этом нас же за это потом и казнят, давайте всё оставим как есть". Там живут в мире РД АС и аппаратных комплекса с узко заточенным под них относительно простым ПО (отсюда и формулировка про "недекларированные возможности").

Любая современная ОС де-факто дает такое количество недекларированных и недокументированных возможностей даже в сертифицированном варианте, что закачаешься... ) И мысль о том, что реально неуязвимого ПО и аппаратки сейчас не может быть в принципе, а над допилом и взломом IT систем одновременно работают миллионы людей по всему миру, и выхлоп этой работы с обеих сторон явно больше чем у труда 10 выпускников профильного ВУЗа в сертифицирующей организации и разработчиков сертифицируемой ОС - это не для военных умов. И, насколько можно судить по скандалу вокруг Windows XP на HMS Queen Elizabeth в 2017 году - это отнюдь не наша национальная проблема.
 

Montfer

New member
Сообщения
365
#48
А толку то от них если в регламентах МО в принципе нет понятия "обновление" и при сертификации по линии МО установка этих бюллетеней равнозначна установке в ОС какого-то левого софта, к/с которого не бьются, сертификатов на НДВ для которого нет и т.п.

Позиция военных простая: "Мы же дали сертификат, свидетельствующий о том, что ОС безопасна на момент сертификации - так как же она может стать не безопасной? Вы что, хотите сказать, что мы сертифицировали что-то небезопасное и с дырами? Так этом нас же за это потом и казнят, давайте всё оставим как есть". Там живут в мире РД АС и аппаратных комплекса с узко заточенным под них относительно простым ПО (отсюда и формулировка про "недекларированные возможности").

Любая современная ОС де-факто дает такое количество недекларированных и недокументированных возможностей даже в сертифицированном варианте, что закачаешься... ) И мысль о том, что реально неуязвимого ПО и аппаратки сейчас не может быть в принципе, а над допилом и взломом IT систем одновременно работают миллионы людей по всему миру, и выхлоп этой работы с обеих сторон явно больше чем у труда 10 выпускников профильного ВУЗа в сертифицирующей организации и разработчиков сертифицируемой ОС - это не для военных умов. И, насколько можно судить по скандалу вокруг Windows XP на HMS Queen Elizabeth в 2017 году - это отнюдь не наша национальная проблема.
Я мало чего понял, т.к. далёк от этого. Мое дело "установить ОС и периферию, чтоб работало", проблемы ЗИ не особо касаются. Но чувствую, что вы правы
 

cogniter

Moderator
Team Astra Linux
Сообщения
389
#49
А толку то от них если в регламентах МО в принципе нет понятия "обновление" и при сертификации по линии МО установка этих бюллетеней равнозначна установке в ОС какого-то левого софта, к/с которого не бьются, сертификатов на НДВ для которого нет и т.п.

Позиция военных простая: "Мы же дали сертификат, свидетельствующий о том, что ОС безопасна на момент сертификации - так как же она может стать не безопасной? Вы что, хотите сказать, что мы сертифицировали что-то небезопасное и с дырами? Так этом нас же за это потом и казнят, давайте всё оставим как есть". Там живут в мире РД АС и аппаратных комплекса с узко заточенным под них относительно простым ПО (отсюда и формулировка про "недекларированные возможности").

Любая современная ОС де-факто дает такое количество недекларированных и недокументированных возможностей даже в сертифицированном варианте, что закачаешься... ) И мысль о том, что реально неуязвимого ПО и аппаратки сейчас не может быть в принципе, а над допилом и взломом IT систем одновременно работают миллионы людей по всему миру, и выхлоп этой работы с обеих сторон явно больше чем у труда 10 выпускников профильного ВУЗа в сертифицирующей организации и разработчиков сертифицируемой ОС - это не для военных умов. И, насколько можно судить по скандалу вокруг Windows XP на HMS Queen Elizabeth в 2017 году - это отнюдь не наша национальная проблема.
насколько мне известно, сейчас уже стало возможно обновлять ОС и для Минобороны
 

Santi

New member
Сообщения
10
#50
насколько мне известно, сейчас уже стало возможно обновлять ОС и для Минобороны
Ого! А на какой нормативный документ можно опираться, пропихивая установку бюллетеней безопасности по линии МО? Мне пока ни один инженер по безопасности не смог ответить на этот вопрос.
 
Сообщения
26
#51
Ого! А на какой нормативный документ можно опираться, пропихивая установку бюллетеней безопасности по линии МО? Мне пока ни один инженер по безопасности не смог ответить на этот вопрос.
Трудно ответить на то чего нет, а нет дыр и эксплоитов, потому что система сертифицированна, а сертифицированные системы не могут иметь дыр, потому как не прошли бы сертификацию:).
 

cogniter

Moderator
Team Astra Linux
Сообщения
389
#52
Трудно ответить на то чего нет, а нет дыр и эксплоитов, потому что система сертифицированна, а сертифицированные системы не могут иметь дыр, потому как не прошли бы сертификацию:).
сертификация - это не гарантия отсутствия уязвимостей, а подтверждение выполнение требований регулятора по наличию конкретного функционала в системе.
 

kostia

New member
Сообщения
186
#53
сертификация - это не гарантия отсутствия уязвимостей, а подтверждение выполнение требований регулятора по наличию конкретного функционала в системе.
А на НДВ вы же тоже тестировались? Уязвимость это и есть НДВ.
 

cogniter

Moderator
Team Astra Linux
Сообщения
389
#54
А на НДВ вы же тоже тестировались? Уязвимость это и есть НДВ.
НДВ - незадекларированные возможности (иными словами, неописанный функционал). Уязвимости - это ошибки, а не "не указанный функционал".

"Руководящий документ. Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

п. 2.1. Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации".

В целом, сертификация на НДВ уже не столь актуальна, как ранее (как раз потому, что не гарантирует отсутствие уязвимостей).

По имеющейся информации, на этой неделе во ФСТЭК должно пройти повторное совещание по методике анализа уязвимостей и недекларированных возможностей, потом методика уйдет на утверждение, после ее утверждения ФСТЭК опубликует информационное сообщение о прекращении НДВ как самостоятельного вида сертификации. Вместо нее будет сертификация на оценочный уровень доверия, который включает в себя анализ уязвимостей и отдельно - НДВ, как одну из составляющих.
 

CrashBldash

New member
Сообщения
229
#56
Если бы сертификация по требованиям регулятора гарантировала бы отсутствие дыр (бред из мира идеальных вещей) , то зачем делать ее временной? Срок сертификата ведь рано или поздно истечет.

Сертификация на соответствие требованиям регуляторов даже если каким то чудесным образом ассоциируется с отсутствием уязвимостей, то опять же на момент тестирования системы и ее сертификации. И никто вам не даст гарантии, что на следующий день в ней не найдут zero-day уязвимость.