О мифах и мифотворчестве
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Информация для ВАК
Звезды «СА»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Игры
Контакты
   


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
13.03.2019г.
Просмотров: 201
Комментарии: 0
DevOps для ИТ-менеджеров

 Читать далее...

13.03.2019г.
Просмотров: 199
Комментарии: 0
Запуск и масштабирование DevOps на предприятии

 Читать далее...

13.03.2019г.
Просмотров: 178
Комментарии: 0
Kubernetes в действии

 Читать далее...

13.03.2019г.
Просмотров: 161
Комментарии: 0
Внедрение Splunk 7

 Читать далее...

24.12.2018г.
Просмотров: 1226
Комментарии: 0
Python. Разработка на основе тестирования

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 О мифах и мифотворчестве

Блог:  Спроси у эксперта |  Автор:  Вячеслав Медведев |  Категория:  Системное администрирование 09.04.2012 - 05:26

На голосовании за конституцию люди разделились на три части: те, кто за вариант Верховного Совета, те, кто за вариант президента, и те, кто читал оба варианта.

Анекдот времен приема первой конституции

 

А не посрывать ли нам покровы? Зачастую, работая с клиентами, приходится вместо нормального обсуждения имеющейся в организации или компании ситуации ломать мифы. Кто говорит их с усмешкой, кто изрекает истиной в последней инстанции, но пару раз в неделю точно приходится с тяжелым вздохом и тщательно скрываемым озверением внутри повторять одно и то же.

«Мы точно знаем, что вы пишете вирусы — это же вам выгодно!» Или как вариант называют процент вирусов, написанных по нашему заказу в Китае, названный знакомым, ездившим в Китай. В Китае-то это точно не секрет! Совершенно непонятно, почему такой убежденности не существует для фармацевтических компаний или автопроизводителей — им ведь тоже выгодно как можно больше выпускать своих продуктов и как можно чаще их обновлять.

«Нам нужен продукт, сертифицированный по 152-му!» Сейчас уже не хит, но раньше с этим вопросом звонили постоянно. Не бывает. Федеральный закон № 152-ФЗ «О персональных данных» и подзаконные акты к нему описывают требования к СЗИСПДн — системе защиты персональных данных. В рамках этих требований должна быть защита от вирусов, защита от атак, система распределения доступа, но аттестоваться по этим требования должна сеть, а не конкретный продукт. Закону без разницы, чем защищаться от тех же вирусов — хоть вручную их выковыривать. В силу отсутствия требований к антивирусным продуктам все они проходят сертификацию на ТУ и НДВ — то есть на соответствие техническим условиям и отсутствие недекларированных возможностей. По сути это означает, что продукт должен делать только то, что написано в его документации — и больше ничего. Под напором мифа производители антивирусов добились получения писем, в которых говорится, что их продукты «могут использоваться в системах защиты персональных данных». Но ни о каких сертификатах на соответствие мифическим требованиям, имеющимся в законе, речь не идет.

«Хотим продукт, сертифицированный по ФСТЭК и ФСБ!» Тоже хит, идущий от того, что на сайтах производителей размещаются сертификаты, гласящие о наличии для продуктов сертификатов ФСТЭК/ФСБ/МО. Но все дело в том, что, как правило, это физически разные дистрибутивы, собранные под наблюдением и зачастую в присутствии специалистов соответствующих сертифицирующих органов. Да, они имеют одинаковый функционал, и к ним подходят одни и те же лицензии, но распространяются эти дистрибутивы совершенно по-разному. Дистрибутивы продуктов, имеющих сертификаты ФСТЭК, как правило, распространяет вендор, а вот дистрибутивы продуктов с сертификатом ФСБ распространяет соответствующая в/ч. То есть если клиенту нужен сертифицированный дистрибутив, то он покупает лицензию, а затем, если ему нужен сертификат ФСТЭК, то он через вендора получает коробку с дистрибутивом, а если ФСБ — обращается в в/ч.

«Где можно скачать сертифицированный дистрибутив?» Нигде. Сертифицированные дистрибутивы по правилам распространяются только на дисках.

«Я поставил антивирус и выполнил все требования 152-го!» Требования закона подразумевают, что оператор должен составить свою частную модель угроз и в соответствии с ней выбрать средства защиты. Как правило, для К3/К2 достаточно установки антивируса, файервола и системы распределения доступа. Поскольку в современных антивирусах все это так или иначе присутствует, то заявление вполне имеет право на жизнь, хотя я бы добавил корпоративный файервол.

 А какие мифы назовете вы?

Комментарии
  25.01.2014 - 09:45 |  beralex

Ну просто песня, а не статья! Для начала вопрос к автору: А вы можете представить реальные доказательства, что DrWeb действительно не пишет вирусы? Если не можете -- тогда Вы ничем не отличаетесь от тех, кто Вас подозревате. Ваше "слово" против их "слова" и в итоге "бла-бла-бла" и больше ничего. Странно, почему Вы вообще пишете про это? Известно, начинают оправдываться чаще всего те, кто чувствует за собой вину... Про ФЗ-152 -- ну это просто фантастический роман какой-то. Если продукт официально получает сертификат и при этом приобретается легально -- это и есть сертифицированный продукт. Все. Больше писать не о чем. Ни о каких "разных дистрибутивах" речи не идет. Есть коробочка, есть бумажечка. ""Все, свободны, следующий!", -- кричит заведующий" Про ФСБ -- это вообще песня. Вячеслав, Вы хоть прочтите, в каких случаях требуется лицензия ФСТЭК, а в каких -- ФСБ. И для какого типа продуктов. А как прочтете -- перескажите нам, пожалуйста, со ссылкой на источник. Будет интересно сравнить с данной статьей.

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru