Сертификация ПО и FOSS: по следам антикризисного семинара

Автор: Алексей Федорчук

Эта заметка написана вдогонку репортажу, посвященной удару FOSS’ом по кризису и разгильдяйству, поскольку обсуждение в Джуйке  показало, что в нём не была раскрыта тема  сисек сертификации.

Собственно, в своём репортаже я сознательно не затрагивал вопросы сертификации, поскольку разбираюсь в них гораздо хуже, чем в… ну чем в некоторых других. Однако, поскольку этот закон затронет всех, так или иначе связанных с IT-сферой вообще и FOSS в частности, считаю своим долгом рассказать о том, что услышал по этому вопросу в ходе обсуждения докладов на антикризисном семинаре и особенно в процессе последующих неформальных разговоров с товарищами, более сведущими в этом деле — Павлом Фроловым и Светланой Семавиной. И что успел дополнить сетевыми источниками.

Итак, с 1 января 2010 года вступает в силу Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных. С текстом его можно ознакомиться здесь . Но суть закона, в двух словах, следующая: после вступления его в силу любая компьютерная обработка персональных данных может выполняться только с помощью программного обеспечения, сертифицированного Федеральной службой по техническому и экспортному контролю, в просторечии именуемой ФСТЭК (см. её официальный сайт).

Для начала, что такое персональные данные? В определении закона, под это определение попадают самые обычные паспортные данные, которые каждый из нас десятки и сотни раз указывал во всякого рода анкетах, как официальных, так и самостийных. Если исключить последние, то оказывается, что в любой организации обнаруживается масса служб, имеющих дело с такими данными, начиная с отдела кадром и кончая парткомами, месткомами, комиссиями по технике безопасности, распрделелителями путёвок и материальной помощи… да мало ли на любой работе комитетов, трудящихся на благо трудящихся.

Так вот, в соответствие с законом, персональные данные могут использоваться только с согласия персоны, которой эти данные принадлежат, во-первых, и при условии гарантированной их конфиденциальности — во-вторых. С первым вопросом всё более или менее ясно — любого, кто пытается получить ваши паспортные данные, не имея на то оснований (в служебных условиях это отдел кадров и ряд служб родственного назначения), следует посылать на сайт Лео Каганова. И тот, кто этого не делает — сам себе злобный Буратино, так что этот аспект принадлежит сфере психологии.

А вот второй вопрос имеет самое прямое отношение к IT-сфере: средства компьютерной обработки персональных данных должны быть гарантированы от возможности доступа посторонних лиц.

Возникает вопрос — а кто даёт такую гарантию? Если вы, вслед за товарищем Бендером, предположите, что её даёт страховой полис, то будете не очень далеки от истины: эту гарантию даёт вышеназванный ФСТЭК в виде соответствующего сертификата. А выдаётся сертификат после соответствующей экспертизы исходного кода на предмет отсутствия ошибок в системе безопасности, наличия умышленно оставленных back doors и тому подобных недокументированных возможностей (НДВ).

Причём никакие мнения стронних экспертов, в частности, специалистов в области Computer Sciences, для ФСТЭКа не указ: можно сколько угодно говорить о несравненной защищённости, например, OpenBSD, но пока это не подтверждено соответствующей бумагой, использовать эту ОС работы с персональными данными нельзя.

И тут мы вступаем даже не в замкнутый круг, а скорее в петлю Мёбиуса. Судите сами: пользователи для работы с персональными данными обязаны иметь сертифицированный программный инструментарий. А в масштабах одной отдельно взятой организации они олицетворяются её руководителем — именно он несёт ответственность за характер используемых программных средств. Поскольку, как уже было сказано, трудно представить себе организацию, в которой не ведётся работа с персональными данными, то в роли такого коллективного пользователя оказывается абсолютно любой руководитель. Что, казалось бы, создаёт, особенно накануне вступления закона в силу, просто-таки ажиотажный спрос.

Этот спрос должен тем или иным способом удовлетворяться. И давайте, посмотрим, как.

Сам оп себе ФСТЭК, по собственной инициативе, ничего не сертифицирует: чтобы он начал проведение соответствующей экспертизы — а каждый, кто хотя бы просто из любопытсва заглядывал в исходники, скажем, ядра Linux, представляет, что такая работа с кандачка не делается, — к нему должна обратиться заинтересованная в сертификации сторона. И это не руководитель предприятия, где этот сертифицированный софт предполагается использовать. По понятной причине это должен быть разработчик и распространитель соответствующих программных средств. Ибо только он в состоянии предоставить всё необходимую для экспертизы информацию.

Делают ли производители софта это? Некоторые — да. Но насколько активно — давайте посмотрим. На сегодняшний день для работы с персональными данными сертифицированы следующие операционные системы:

  1. RedHat Enterprise Linux 4 (информации на счёт более высоких версий мне пока не попалось);
  2. ALT Linux 4.0 Server Edition (ранее был сертифицирован их же дистрибутива Утёс-К — кажется, первым из всех дистрибутивов Linux);
  3. Mandriva Linux 2008.1 в редакциях PowerPack, Corporate Desktop, Corporate Server и Mandriva Flash.

Обратим внимание, что сертификации подлежит конкретная версия и редакция дистрибутива, причём для определённой аппаратной платформы. Впрочем, последнее относится только к RHEL — но как раз для него сертифицированы варианты для всех практически значимых платформ. То есть по выходе следующего релиза процесс сертификации надо начинать заново.

Неужели это всё, что мы имеем сертифицированного? Разумеется, нет — чаша сия не минула и Windows. Но — отнюдь не все её версии: насколько мне удалось услышать на семинаре и прочитать в Сети, сертифицированы Windows 2000, Windows 2003 Server в нескольких редакциях и Windows Vista. Причём в случае с Windows сертифицируется не только конкретная версия и редакция, но и её сочетание с определённым сервис-паком.

Во что это выливается для конечного пользователя — нетрудно догадаться. Во-первых, поскольку сертификация требует затрат сил, средств и времени, прошедшие её варианты дистрибутивов оказываются дороже вариантов-лишенцев. Насколько конкретно — легко посмотреть на сайтах производителей и распространителей. Но, по словам компетентных товарищей, разница составляет около 30% — как для дистрибутивов Linux, так и для различных версий и редакций Windows.

При этом нужно подчеркнуть такой факт: от того, что, скажем, Mandriva PowerPack 2008.1 прошла сертификацию, боксы и коробки этого дистрибутива, тиражируемые и распространяемые российским отделение Mandriva и Линуксцентром, сертифицированными не становятся. Этот статус присваивается только дистрибутиву Mandriva PowerPack 2008.1, подготовленному и тиражированному непосредственно ФСТЭК, сопровождаемому, помимо стандартной лицензии Mandriva, его собственной документацией, указанный статус подтверждающей — собственно сертификатом.

Другое дело, что сам ФСТЭК дистрибутивами не торгует ни оптом, ни в розницу. Их распространением занимается, как правило, фирма-разработчик и её торговые партнёры. По крайней мере, это верно в отношении сертифицированной Mandriva: её продают те же самые Mandriva.ru и Линуксцентр, которые распространяют и Vandriva-лишенку. Что может быть поводом для недоразумений — как в отношении цены, так и «сертификационных свойств». Не говоря уже о том, что потенциальные пользователи подчас банально путают лицензионные дистрибутивы и дистрибутивы сертифицированные.

Во-вторых, и это не менее существенно для пользователя, процесс сертификации не сиюминутный. А поскольку подвергается ему конкретная версия и редакция, то от выхода дистрибутива до получения сертификата может пройти значительное время. И потому пользователь обречён работать с версией, заведомо устаревшей. Что само по себе не смертельно — трудно представить себе инспектора отдела кадров, переустанавливающего систему с выходом каждой свежей версии.

Но ведь даже стабильные релизы время от времени подвергаются обновлению — по меньшей мере, для ликвидации выявленных дыр безопасности и добавления некоторых новых, возможно, важных, функций. Однако, если следовать букве закона, это автоматически влечёт за собой утрату статуса сертифицированности: ведь даже если речь идёт только о backports, а не о смене версии, например ядра, система перестают быть в точности той, которая подверглась экспертизе в ФСТЭК.

И это видится мне проблемой более серьёзной, чем дополнительные затраты при приобретении ПО. Я далёк от мысли, что сам ФСТЭК, при обнаружении дыр безопасности, накладывает патчи на ядро или другие компоненты дистрибутива. Деталей процедуры я не знаю, но по аналогии могу предположить, что в таких случаях система либо просто заворачивается, либо возвращается подателю его на доработку. Но все мы люди, все мы человеки, и эксперты ФСТЭК также не гарантированы от ошибок, как и разработчики дистрибутивов и многочисленные тестеры из состава комьюнити. Известно немало примеров, когда критически важные уязвимости всплывают через какое-то, иногда значительное, время после начала эксплуатации системы. И в этом случае эффект от сертификации может быть прямо противоположным задуманному: из боязни утратить сертификат пользователи будут отказываться от всех обновлений, в том числе и абсолютно необходимых.

И, наконец, третье: обязательная сертификация резко сужает возможность выбора для пользователей, вынужденных ей подчиниться в силу своих должностных обязанностей. Поскольку сертификацию системы должен кто-то продвигать, из этого круга автоматом выпадают операционки и дистрибутивы, за которыми стоит исключительно сообщество разработчиков, а не какая-либо фирма. Причём независимо от их достоинств именно в отношении качеств, для сертификации необходимых — устойчивости, защищённости, оттестированности кода. Тут к упоминаемой ранее OpenBSD можно добавить общепринятый оплот стабильности в Linux-мире — Debian. Да и всем без исключения BSD-системам на поприще сертификации ничего не светит. Не говоря уже о таких перманентно модифицируемых дистрибутивах, как Gentoo или Archlinux. И даже Ubuntu в своих LTS-версиях не кажется подходящим кандидатом в сертификанты: ведь «долгоиграющий» характер последних как раз и обсуловлен длительностью появления обновлений безопаности и бэкпортов.

Предвижу возражение: использование сертифицированного софта необходимо только в тех подразделениях предприятия, где действительно имеют дело с персональными данными, а в подразделениях технологических исполнителям работ вольно использовать любой подходящий дистрибутив, хоть LFS собственной выделки.

Однако есть немало сфер, где грань между подразделениями, использующими персональную информацию, и подразделениями, к оной отношения не имеющими, провести нелегко. Напрашивающийся пример — любой научно-исследовательский медицинский центр, практическая работа которого без персональных данных (причём часто гораздо более конфиденциальных, чем номер паспорта или адрес прописки) просто невозможна.

Да, тут можно найти обходной путь (эту мысль высказал Павел Фролов в обсуждении): в законе сказано, что с обезличенной персональной информацией можно работать и без сертификационных средств. Кстати, в этом случае не требуется и согласия персоны, к которой эти данные относятся.

То есть, фигурально выражаясь, информация, однозначно привязанная к конкретному субъекту, с указанием его социально-идентифицирующих атрибутов (ФИО, паспортных данных, адреса прописки etc.) хранится на сервере под управлением сертифицированной ОС, а для практической обработки поступает на рабочие станции, будучи привязана не к ним, а к некоему численному идентификатору, например. И потому на настольных машинах вполне может крутиться любая несертифицированная ОС.

Не очень представляю, как это выглядит с точки зрения закона, но с позиций простого здравого смысла очевидно, что профессионалу в своей предметной области не составит труда сопоставить «машинные» идентификаторы с идентификаторами социальными. И, следовательно, о сохранении конфиденциальности здесь уже говорить трудно. Разумеется, можно придумать серию промежуточных деперсонификаторов (по аналогии с прокси-серверами), но насколько это усложнит и без того не простые информационные системы?

И, наконец, банальный человеческий фактор: вы можете представить себе грамотного и благоразумного руководителя и его квалифицированного IT-специалиста, к мнению которого руководитель (давайте немного помечтаем) прислушивается, которые по доброй воле пойдут на создание заведомого зоопарка систем? Я — так не очень. И потому очевидно, что рабочие станции, не требующие сертифицированных систем, на данном предприятии будут нести тот же дистрибутив, что и критически важные с точки зрения конфиденциальности сервера, работающие под управлением его сертифицированного варианта. А насколько велико число последних — мы уже видели…

Вот пока и всё, что я хотел сказать относительно последствий всеобщей сертифицированности. Но, возможно, к этой теме придётся ещё вернуться.

Сертификация ПО и FOSS: по следам антикризисного семинара: 31 комментарий

  1. >Итак, с 1 января 2100 года вступает….
    Дальше можно не читать….. :)

  2. Лично я в сертификации не вижу ничего такого страшного. Да гиморойно, да затратно, но вполне осуществимо для любого ИТ-отдела. В конце 2008 в начале 2009, ещё работая в таможне, мы с моим начальником себе весь мозг вынесли это сертификацией (одно из требований таможни). На тот момент времени можно спокойно было купить сертифицированную Windows XP Professional (цена практически такая же, как и не сертифицированной). К слову, таможня требовала сертификацию ФСБ и ФСТЕК. Причём, все обновления для этой уже сертифицированной винды необходимо качать не с сайта мелкософта, а со специального (сейчас не скажу с какого именно, ибо уже забыл :) ), где выкладываются сертифицированные обновления (с небольшой задержкой).

    Если с виндой всё просто и понятно, то с прикладными программами как раз начинается весь гимор. Мы наводили справки насчёт сертификации программ, то получалось, что:
    * да занимаемся, но сейчас ведётся запись на полгода вперёд
    * да занимаемся, но сейчас специалисты все заняты, позвоните через месяц
    * да занимаемся, но… (придумайте сами любую отмазку)

    Что касается антивирусов, то и каспер (точно, именно его таможня продвигает и заставляет использовать), и др.веб вроде бы как уже имеют все необходимые сертификаты. Если же брать средне-российское предприятие, то в 95% процентах организация весь кадрово-бухгалтерский софт базируется на 1С. А уж они, ИМХО, должны в первую очередь суетиться насчёт сертификации.

    Вот и получается, что для рядовому домашнего пользователя, это всё мышиная возня. Для сотрудников ИТ-отделов, да, головная боль, но она вполне решаема.

    P.S. За линукс не скажу, ибо в таможне спецовый софт работает исключительно на винде.

  3. Прочитал ещё разок закон, и понял, что в клинике, где я сейчас работаю, настанет полная ж%па. Из 200 компов разве что только два (мой и линуховый шлюз :) ) не используют персональные данные. %) А так, все работают в специальной медицинской программе, где эти персональные данные вводятся в первую очередь.

    Хм, спасибо за тему. Завтра подниму вопрос. Пусть у начальства голова болит.

  4. 2 MadDog Как раз разговоры с админом медицинской службы Волгограда, известном на позиксе под ником Zmey, и заставили меня впервые задуматься о сертификации.
    Потом вчерашний семинар и сегодняшнее обсуждение в Джуйке.
    И ещё не все её последствия можно предвидеть.

  5. 2 MadDog А по первому твоему комменту — согласен, с виндой геморроя большого быть не должно. И это тоже наводит на разные мысли

  6. Жесть! Хорошо, что я не пошел в IT-отдел!
    Кстати, а что известно по поводу сертификации других систем? Ну, маки-солярусы — эт понятно, что у них уже все давным-давно готово, а что до более нишевых решений?

  7. Тут интересный на самом деле вопрос — какое отношение сертифицированная ОС имеет к персональным данным? Персональные данные вводятся и обрабатываются программами, хранятся на разделах диска et cetera…. В каком месте выплывает сертификация ОС? В том что нет закладок, позволяющих передать по сети файл в несанкционированное место? Так троян с этим справится намного эффективнее, а утащить комп/накопитель/слить на флэшку — сертификат ОС не спасет. Шифровать раздел диска с данными — а как гарантированно защищаться от сбоев в аппаратном обеспечении? А падение производительности? Шифровать данные внутри хранилища (СУБД)? Прощайте индексы…. Еще один момент — бэкап, который тоже резко повышает вероятность утечки…. Но очень мало в этих проблемах именно на ОС завязано, намного больше на прикладной софт…..
    Следующий момент — сертифицировали конкретную версию Линукс-дистрибутива. Во-первых — это время (как замечено в статье немаленькое), за которе появились патчи/исправления/улучшения. их тоже надо сертифицировать? А выкладывать бинарные сборки без исходного кода — не будет это нарушением GPL? Ссылаться на сайт-источник — неправильно, ибо исходник который там может внещзапно оказаться не тем, который был сертифицирован…..
    Далее — насколько мне известно, в медицинской статистике используются несколько различных программ, в которых обрабатываются персональные данные. У каждой из этих программ свое собственное хранилище данных…. Это уже не совсем проблема сертификации, но головной боли добавит немало…… Вот примерно такая картинка получается…..

  8. 2sarutobi Что касается шифрования. Таможня признавала только одну железку (которая также сертифицирована и в ФСБ, и в ФСТЭК) — это Аккорд. Вставляется в свободный слот, доступ в компьютер (сразу же после отрабатывания биоса) только если приложить специальный ключ-таблетку, плюс полное или частичное шифрование жёсткого диска.

    Само по себе мы шифрование не использовали, только доступ к компу. Но вот вылетали эти Аккорды с завидным постоянством.

    Скорее всего ИТ-отдел будет подходит к этой проблеме каждой своей дорогой.

    Кстати, у нас в клинике во всю используется Медиалог. А у вас?

  9. 2MadDog я не работаю в области медицины. Один хороший знакомый работает, я с ним часто на темы ИТ в медицине общаюсь…. Но глубоко не залазил.

  10. Могу порекомендовать каталог средств защиты информации, сертифифицированных по требованиям защиты персональных данных:
    http://ispdn.ru/szi/?SHOWALL_2=1

    А также, когда необходимо сертфицировать ПО и аттестовать информационную систему:
    http://ispdn.ru/basis/527/#text

  11. Прости, Алексей, но ты в некотором роде херню написал неправ. :)

    Начнём с того, что необходимость в таком законе давно назрела. Посмотри на диски, с БД ГАИ и т.п., которые свободно продаются. Теперь будет возможность взять за жопу не «Это наверное Вася, который два года назад работал, а может и не он», а непосредственно руководителя и начальника IT-отдела.

    <i>Причём никакие мнения стронних экспертов, в частности, специалистов в области Computer Sciences, для ФСТЭКа не указ: можно сколько угодно говорить о несравненной защищённости, например, OpenBSD, но пока это не подтверждено соответствующей бумагой, использовать эту ОС работы с персональными данными нельзя.</i>
    Собственно, во <b>всех</b> странах, озаботившихся защитой ПД ситуация ровно та же. Доверяй, но проверяй. По хорошему, сертифицироваться должен программно-аппаратный комплекс. Потому что представить дырявую OpenBSD, настроенную пионером Васей, я могу очень легко.

    Далее, про рассуждение о невозможности использовать LFS, Gentoo, Арч эт цетера, эт цетера.
    То, что туева хуча ПО, вроде того же Оракл, запускается только на сертифицированном софте (а бывает, что и на сертифицированном железе) — это новость? Да, имеет смысл купить железку с тем же «Утёсом» от Альтов и засунуть всю БД туда. Идея работы с обезличенными идентификаторами в корне правильная, потому не вижу проблем.

    <i>Не очень представляю, как это выглядит с точки зрения закона, но с позиций простого здравого смысла очевидно, что профессионалу в своей предметной области не составит труда сопоставить “машинные” идентификаторы с идентификаторами социальными</i>
    Пардон муа, КАК? Я работал в не самой большой конторе не самого большого города. Полмиллиона человек в базе. И кто-то сможет кого-то опознать? Да даже если и так — хрен бы с ним, цель-то другая — по возможности предотвратить <i>массовые</i> хищения БПД.

    <i>И, наконец, банальный человеческий фактор: вы можете представить себе грамотного и благоразумного руководителя и его квалифицированного IT-специалиста, к мнению которого руководитель (давайте немного помечтаем) прислушивается, которые по доброй воле пойдут на создание заведомого зоопарка систем? Я — так не очень.</i>
    Алексей, я знаю, что я живу в стране эльфов, но, бля, все мои руководители вполне себе прислушивались к моим советам. Я вообще не вижу проблемы в использовании одного сервера БД с сертифицированными ОС и ПО. Тебе есть разница на чём крутится хостинговая машина, на которой висит твой блог? Так и тут. Ты рассуждаешь с позиции начальника-крохобора — когда всё громоздится на одну машину. И то, и это, и ещё вон то вот. Подумай об этом по другому — как о чёрном ящике, который стоит в серверной и крутит внутри себя БПД. И всё. В конце-концов, такая схема работает и работает давно (те же биллинговые сервера, например).

    В принципе, перед глазами пример одной сертифицированной машинки (не для БПД, для другого, но не суть). Там отрублено вообще всё, что можно отрубить, файр максимально параноидальный, живёт она в DMZ, и, что характерно, не обновляется. Лет пять, как минимум. И как-то ничо, не заломали. Потому то трудно, очень трудно плыть в соляной кислоте с отрубленными ногами и заламывать машину к которой нет физического доступа, а из доступных сервисов — только БД и параноидально настроенный ssh на нестандартном порту :)

    Если тебя это обрадует, с сертифицированной виндой всё ЕЩЁ сложнее. Скажем, сертифицирована только WinXP SP2. В голом виде. Превед, туева хуча уязвимостей, которые были исправлены в SP3 и после. Патчи-то ставить нельзя!

    P.S. MadDog, если ты ещё не начал борьбу с ПД — ты счастливчик, по любому. :) Я уже год на этой теме плотно сижу.

  12. Блин, не сработало. Слова -херню спорол- предполагались зачёркнутыми есличо. :)

  13. >Лично я в сертификации не вижу ничего такого страшного.
    Счастливый…
    Практика правоприменения подсказывает, что всё будет по Черномырдину(Хотели как лучше, а получилось как всегда).
    Практически в любой IT системе найдутся хоть какие-нибудь несоответствия с буквой этого закона, а это
    огромные возможности для контролёров…

  14. В этой теме уже давно. Работаю именно в медицине. Реального решения, которое удовлетворило бы всех проверяющих, кроме взятки, нет. Реально список ОС сертифицированных на данный момент состоят из четырех операционок Windows XP SP2, Mandriva 2008 Spring, RedHat Enterprise Linux 4, ALT Linux 4.0 Server Edition.
    По условиям сертификации всякого рода патчи и обновления сразу херят всю сертификацию.
    Но это полбеды.
    Нужны еще продукты для шифрования и управления доступом. И они тоже должны быть сертифицированы. А тут та-акие «замечательные» решения, как VIPNet, Кольчуга и т.п., в зависимости от категории информации. Надо сказать, что все, что мы пробовали из этих решений просто чудовищно глюкаво и откровенно неудобно. У всех медучреждений, между прочим, данные 1-ой категории! То есть самые жесткие требования.
    По примерным подсчетом вместе со специалистами регионального фонда ОМС каждая машина с перс. данными обойдется около 1000 евро. Возможно, чуть дороже… Это только дополнительное ПО и сертификация. А теперь нашим правителям неплохо бы включить мозг и подумать, откуда ЛПУ должны взять такие деньги? Короче, на информатизации можно ставить крест. А сейчас собираются внедрять еще и типовую МИС «КОРУС», которую спутили в пилотные регионы. А теперь внимание! Эта система НЕ СОДЕРЖИТ РЕШЕНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ! По утверждениям разрабов, это можно решить с помощью решений сторонних фирм! То есть еще за деньги. Мало того, что Минздравсоц РФ приобрел эту достаточно сырую поделку для поликлиник (стационара у них, как такового нет и они предлагают каждому региону доработать это за дополнительные деньги), так эту байдень еще и защищать надо за дополнительные деньги!
    Короче, правильно банки обратились в правительство с предложением о том, чтобы отложить вступление в силу 152-AP, ибо решений для него, на данный момент, просто нет…

  15. Забыл сказать, что гарантировано работает серверная часть МИС «КОРУС» только на несертифицированной CENT OS… Делайте выводы.

  16. С одной стороны — да, всё так.
    С другой — лично я знаю об этом законе уже года два как. Пока гром не грянул (всё, вводим) — никто вообще по этому поводу не чесался. М.б. есть более прямые способы ввести этот несчастный закон, но мне о них неизвестно.

    Кстати, у меня в связи с этим ровно один вопрос (он давно назрел, вне зависимости от этого ФЗ). Почему те же ASP’ы, Альты и прочие не шевелятся в плане предложения внятного продукта для развёртывания VPN, ЭЦП и прочих радостей? Повсеместно используется КриптоПро, которое как-то не возбудило во мне самых тёплых чувств. Технологии — есть, продукта — нет. Кто виноват и что делать?

  17. P.S. Да, я щас так легко об этом говорю, потому что на моей нынешней работе всех персональных данных — база 1С.
    P.P.S. А вот что будет твориться на предыдущей (медстрахование)… Ц-ц-ц. И самое смешное — опять будут писать сами в авральном темпе, на коленке. Потому что продуктов опять-таки — нет.

  18. 2 pauel — Тоже мучаешься с «КОРУС», коллега? Соболезную. Мы вот тоже попали в пилот. Правда, разрабы вроде достаточно вменяемы, но это мало что меняет, да…

  19. Гм, пока я разгрёбся после командировки, уже практически всё написали значимое. В общем и целом, да и по пунктам, почти на 100% согласен с StraNNick. Но «есть ньюанс» (с). По поводу хранения неких «идентефикаторов» — если они храняться в одной ФИЗИЧЕСКОЙ гм… системе с самими «обезличенными» данными (будь то локальная сеть, или отдельно взятый сервер) — смысла в этом нет. Доблестные внутренние органы не считают таковые данные обезличенными. Вариант же хранить идентефикаторы раздельно (именно физически раздельно, причём vlan/vpn/прочее не катят) или, пуще того, в немашинном виде (хоть на той же бумаге) не имеет смысла, ИМХО. Это было обсосано с различными представителями различных этих самых органов не раз, увы.
    С медициной — большая и полная жопа в этом плане. Реально на практике выполнить все требования 152 ФЗ (а есть ещё приказ «на троих» и ещё много чего) невозможно, что признают и сами представители соответствующих ведомств. Но признают приватно, в кулуарах, так сказать. А официальная позиция — будем проверять и наказывать.

  20. Да, ещё момент, который упускают многие, и тут он неосвещён остался — наличие сертифицированной системы НЕ ТРЕБУЕТ применения дополнительных мер защиты и авторизации (это касается только локальных данных, лиюо если ВСЯ система обработки ПД состоит из таких сертифицированных компонентов — то и системы в целом). В случае несертифицированных ОС/ПО необходимо применять дополнительные сертифицированные средства авторизации/защиты от НСД. Про которые уже выше писали, страшно смотреть на них. Может, разве что кроме алладиновских е-токенов.

    Далее — сертификат ФСТЭК — он СРОЧНЫЙ. То есть, 5 лет работать на одной и той же системе вряд ли получится.Ибо у самых свежих сертификатов срок действия — до 2011-2012 года.
    Ну, и на закуску — разница в цене сертифицированной/несертифицированной венды никак не 30% — сертифицированная ВинХП стоит около 12000р. Сравните сами. )

    Полный список всяких сертифицированных средств лучше всё же смотреть на первоисточнике: http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls

    Вроде, пока всё. Голова плохо соображает ещё после поездки. А так — да, в медицинской отрасли все связанные с реализацией защиты ПД стоят на ушах и находятся в состоянии перманентного фалломорфирования…
    П.С. пришлось разделить на 2 поста — не переварил за один раз вордпресс. Сорри.

  21. Если вариант с идентификаторами не прокатывает — то жопа просто феерическая.

    Честно говоря — эта ситуация не только пиздец, но и эээ…. шанс. Всё зависит от точки зрения, как обычно.
    Возьмём ту страховую компанию, в которой я работал. Там всё было завязано на самописный АРМ, к которому приделали просто неебическое количество костылей.
    Можно ли заменить? Можно. Нужно ли? Обязательно. Можно ли сделать, чтобы полученная программа работала под тем же Альтом? Да легко! Серверная часть работает с БД, а с БД в линуксе неплохо, я думаю. Клиентскую часть — через веб-морду на любую (читай «любую сертифицированную») ОС. Учитывая разницу в цене между сертифицированным Альтом и не менее сертифицированной WinXP (на которую ОБЯЗАТЕЛЬНО нужно ставить сертифицированный антивирь) — у Альтов весьма солидные шансы на успех. Profit! Линукс захватывает мир :)

    Вопрос ровно в одном — кому это надо? Подозреваю, что победа будет за виндой. Чисто статистически — разработчиков под неё больше и кто-нибудь таки подсуетится.
    А жаль.

  22. 2 StraNNicK
    > ты в некотором роде херню написал неправ.
    —-
    Знаешь, Женя…
    Если я написал херню был не прав — никто этому не обрадуется больше меня.
    Но на тему херни мы поговорим через полгодика-год…

  23. Тут ещё есть мысли/наработки по поводу терминальных решений (в том числе и бездисковых), но сейчас сил нету писать про это, ибо объёмно весьма.

    2 StraNNick — а журнал учёта носителей ПД (ака HDD, флешки, стриммерные ленты, дискеты et cetera) ты уже завёл?
    Если ещё об этом не думал — спешу обрадовать ))).

  24. Ну, как я уже писал — здесь и сейчас — это не моя pain in ass. Но я об этом действительно не думал, да.

    Алексей, я конечно выразился несколько язвительно, но ты просто не в теме того пиздеца, который происходит вокруг этих самых ПД. Навскидку — эти самые ПД (которые и до ФЗ-152 были, мягко говоря, не для общего пользования) пересылаются открытой почтой (без шифрования, ЭЦП и прочих излишеств буржуазных), причём через mail.ru и это при наличии сукаблядь внутренней почты, которая работает через специально купленную у провайдера VPN — пора что-то менять в консерватории. И мягкими гуманистически-просветительскими мерами тут ничего не сделаешь.

    Да, этот закон здорово добавит геморроя хорошим парням (которые и так всё держали в сухом прохладном месте и слали исключительно по защищённым каналам). Да.
    Но если плохих парней не брать за яйца — будет только хуже. Чем дальше — тем больше.

  25. Причём плохие парни в этой ситуации — даже не те, кто эти базы пиздит. А, блядь, безграмотные, а главное — безответственные пользователи, которым давно пора надавать по сусалам за вышеназванные качества и привить элементарную ответственность за свои поступки.

  26. Здравствуйте. Я случайно наткнулся на вашу дискуссию.
    Хотел бы кое-что добавить. Возможно, мои комментарии помогут взглянуть на вопрос защиты ПДн с другой стороны.

    1. Из ФЗ-152 не следует требований по обязательной сертификации чего-либо. Требования по сертификации прописаны в документах ФСТЭК. Они в свою очередь носят гриф ДСП и выдаются только по запросу. Пока данные документы не будут опубликованы и не пройдут контроль соответствия антикоррупционному законодательству утверждать что-либо со 100%ой уверенностью нельзя. Роскомнадзор настоятельно порекомендовал ФСТЭКу выложить проекты своих документов в открытый доступ для обсуждения.

    2. Непосредственно по части требований по сертификации (исходя из текущих редакций ДСПшных документов ФСТЭК). Средства защиты должны быть сертифицированы, но не сказано по каким требованиям. Должны проводиться мероприятия по контролю отсутствия недекларированных возможностей. Но нет прямых требований по сертификации средств обработки и защиты по НДВ (есть такая сертификация во ФСТЭК — по НДВ). Есть мнения, что контроль отсутствия НДВ можно осуществлять комплексом организационно-технических мер.

    3. Сертифицированная Windows XP (любой сервис-пак) стоит 1350 рублей — можете посмотреть на сайте компании альтехсофт (не сочтите за рекламу). Лицензия на ОС покупается отдельно.

    4. В соответствии с требованиями ФСТЭК пока что не очевидно, что для защиты рабочих станций нужны наложенные средства защиты. Есть мнение, что сертифицированной ОС, настроенной должным образом хватит. Так что если вам предлагают двухфакторную аутентификацию, или что-то наложенное от НСД, поинтересуйтесь какие именно требования по защите ПДн они удовлетворяют.

    Напоследок. Роскомнадзор выложил на своем сайте проект административного регламента по проведению проверок по ПДн. Все проверки касаются исключительно организационных мер по защите ПДн. ФСТЭК и ФСБ будут привлекаться для проверки технической части. Самостоятельно ФСТЭК и ФСБ по теме ПДн ходить не имеют оснований.

  27. 2 StraNNicK
    > ты просто не в теме того пиздеца, который происходит вокруг этих самых ПД

    Да, в отношении именно этого пиздеца я до недавнего времени был не в теме.
    Но я видел столько пиздецов вокруг аналогичных тем…
    Например, я видел выражение лица одного ответственного товарища, который полез в опечатанный сейф с грифованными материалами и обнаружил там женские трусики.

  28. 2 Андрей Суханов
    Спасибо за комментарий.
    Я, собственно, будучи в роли репортёра на конкретном мероприятии, написал не столько о самом законе etc., в этом я не копенгаген. А о реакции на него коллег — и об ожидаемой реакции работодателей этих коллег. Что не намного менее существенно, чем тот или иной закон.

  29. Да там много чего «не следует», но, как водится у нас… Тот же ФСТЭК в лице отдельных представителей утверждает, что обязательно наличие сертифицированной ОС + двухфакторная авторизация (само собой, сертифицированными средствами) — вот необязательность этого как раз и СЛЕДУЕТ из законодательства. Или/или. А об остальных моментов вышеозначенное законодательство в основном умалчивает, что даёт возможность трактовать как удобно. Надо ли говорить, как удобно органам? )

    А по поводу документов ДСП — да, ситуация совершенно кафкианская. Ни ФСТЭК, ни ФСБ не озаботились ознакомлением заинтересованных организаций с ними. Что, правда, не помешало быть ознакомленными всем желающим. Что, в свою очередь, не помешало тому же ФСТЭК встать в позу и грозить пальчиком тем, кто «выкладывает документы ДСП в свободный доступ». Мля…

  30. 2 Zmey
    > А по поводу документов ДСП
    Практика советских времён — Перечень сведений, составляющих военную и государственную тайну (примерно так назывался, точно не помню), сам по себе составлял предмет соответствующей тайны с соответствующим грифом.

Обсуждение закрыто.