CITKIT.ru - свободные мысли о свободном софте
Деловая газета CitCity.ru Библиотека CITForum.ru Форумы Курилка
Каталог софта Движение Open Source Дискуссионный клуб Дистрибутивы Окружение Приложения Заметки Разное
18.08.2017

Последние комментарии

ОСТОРОЖНО: ВИНДОФИЛИЯ! (2250)
24 December, 22:53
Kubuntu Feisty (15)
24 December, 18:42
Один на один с Windows XP (3758)
24 December, 11:46

Каталог софта

Статьи

Дискуссионный клуб
Linux в школе
Open Source и деньги
Open Source и жизнь
Windows vs Linux
Копирайт
Кто такие анонимусы
Лицензии
Нетбуки
Нужен ли русский Linux?
Пользователи
Дистрибутивы
Идеология
Выбор дистрибутива
Archlinux & CRUX
Debian
Fedora
Gentoo
LFS
LiveCD
Mandriva
OpenSolaris
Slackware
Zenwalk
Другие линуксы
BSD
MINIX
Движение Open Source
История
Классика жанра
Окружение
shell
Библиотеки UI
Графические среды
Шрифты
Приложения
Безопасность
Управление пакетами
Разное
Linuxformat. Колонки Алексея Федорчука
Заметки
Блогометки
Файловые системы
Заметки о ядре

Заметки

Сертификация ПО и FOSS: по следам антикризисного семинара

http://alv.me/

Эта заметка написана вдогонку репортажу, посвященной удару FOSS’ом по кризису и разгильдяйству, поскольку обсуждение в Джуйке  показало, что в нём не была раскрыта тема  сисек сертификации.

Собственно, в своём репортаже я сознательно не затрагивал вопросы сертификации, поскольку разбираюсь в них гораздо хуже, чем в… ну чем в некоторых других. Однако, поскольку этот закон затронет всех, так или иначе связанных с IT-сферой вообще и FOSS в частности, считаю своим долгом рассказать о том, что услышал по этому вопросу в ходе обсуждения докладов на антикризисном семинаре и особенно в процессе последующих неформальных разговоров с товарищами, более сведущими в этом деле — Павлом Фроловым и Светланой Семавиной. И что успел дополнить сетевыми источниками.

Итак, с 1 января 2010 года вступает в силу Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных. С текстом его можно ознакомиться здесь . Но суть закона, в двух словах, следующая: после вступления его в силу любая компьютерная обработка персональных данных может выполняться только с помощью программного обеспечения, сертифицированного Федеральной службой по техническому и экспортному контролю, в просторечии именуемой ФСТЭК (см. её официальный сайт).

Для начала, что такое персональные данные? В определении закона, под это определение попадают самые обычные паспортные данные, которые каждый из нас десятки и сотни раз указывал во всякого рода анкетах, как официальных, так и самостийных. Если исключить последние, то оказывается, что в любой организации обнаруживается масса служб, имеющих дело с такими данными, начиная с отдела кадров и кончая парткомами, месткомами, комиссиями по технике безопасности, распределелителями путёвок и материальной помощи… да мало ли на любой работе комитетов, трудящихся на благо трудящихся.

Так вот, в соответствии с законом, персональные данные могут использоваться только с согласия персоны, которой эти данные принадлежат, во-первых, и при условии гарантированной их конфиденциальности — во-вторых. С первым вопросом всё более или менее ясно — любого, кто пытается получить ваши паспортные данные, не имея на то оснований (в служебных условиях это отдел кадров и ряд служб родственного назначения), следует посылать на сайт Лео Каганова. И тот, кто этого не делает — сам себе злобный Буратино, так что этот аспект принадлежит сфере психологии.

А вот второй вопрос имеет самое прямое отношение к IT-сфере: средства компьютерной обработки персональных данных должны быть гарантированы от возможности доступа посторонних лиц.

Возникает вопрос — а кто даёт такую гарантию? Если вы, вслед за товарищем Бендером, предположите, что её даёт страховой полис, то будете не очень далеки от истины: эту гарантию даёт вышеназванный ФСТЭК в виде соответствующего сертификата. А выдаётся сертификат после соответствующей экспертизы исходного кода на предмет отсутствия ошибок в системе безопасности, наличия умышленно оставленных back doors и тому подобных недокументированных возможностей (НДВ).

Причём никакие мнения стронних экспертов, в частности, специалистов в области Computer Sciences, для ФСТЭКа не указ: можно сколько угодно говорить о несравненной защищённости, например, OpenBSD, но пока это не подтверждено соответствующей бумагой, использовать эту ОС работы с персональными данными нельзя.

И тут мы вступаем даже не в замкнутый круг, а скорее в петлю Мёбиуса. Судите сами: пользователи для работы с персональными данными обязаны иметь сертифицированный программный инструментарий. А в масштабах одной отдельно взятой организации они олицетворяются её руководителем — именно он несёт ответственность за характер используемых программных средств. Поскольку, как уже было сказано, трудно представить себе организацию, в которой не ведётся работа с персональными данными, то в роли такого коллективного пользователя оказывается абсолютно любой руководитель. Что, казалось бы, создаёт, особенно накануне вступления закона в силу, просто-таки ажиотажный спрос.

Этот спрос должен тем или иным способом удовлетворяться. И давайте, посмотрим, как.

Сам оп себе ФСТЭК, по собственной инициативе, ничего не сертифицирует: чтобы он начал проведение соответствующей экспертизы — а каждый, кто хотя бы просто из любопытсва заглядывал в исходники, скажем, ядра Linux, представляет, что такая работа с кандачка не делается, — к нему должна обратиться заинтересованная в сертификации сторона. И это не руководитель предприятия, где этот сертифицированный софт предполагается использовать. По понятной причине это должен быть разработчик и распространитель соответствующих программных средств. Ибо только он в состоянии предоставить всё необходимую для экспертизы информацию.

Делают ли производители софта это? Некоторые — да. Но насколько активно — давайте посмотрим. На сегодняшний день для работы с персональными данными сертифицированы следующие операционные системы:

  1. RedHat Enterprise Linux 4 (информации на счёт более высоких версий мне пока не попалось);
  2. ALT Linux 4.0 Server Edition (ранее был сертифицирован их же дистрибутива Утёс-К — кажется, первым из всех дистрибутивов Linux);
  3. Mandriva Linux 2008.1 в редакциях PowerPack, Corporate Desktop, Corporate Server и Mandriva Flash.

Обратим внимание, что сертификации подлежит конкретная версия и редакция дистрибутива, причём для определённой аппаратной платформы. Впрочем, последнее относится только к RHEL — но как раз для него сертифицированы варианты для всех практически значимых платформ. То есть по выходе следующего релиза процесс сертификации надо начинать заново.

Неужели это всё, что мы имеем сертифицированного? Разумеется, нет — чаша сия не минула и Windows. Но — отнюдь не все её версии: насколько мне удалось услышать на семинаре и прочитать в Сети, сертифицированы Windows 2000, Windows 2003 Server в нескольких редакциях и Windows Vista. Причём в случае с Windows сертифицируется не только конкретная версия и редакция, но и её сочетание с определённым сервис-паком.

Во что это выливается для конечного пользователя — нетрудно догадаться. Во-первых, поскольку сертификация требует затрат сил, средств и времени, прошедшие её варианты дистрибутивов оказываются дороже вариантов-лишенцев. Насколько конкретно — легко посмотреть на сайтах производителей и распространителей. Но, по словам компетентных товарищей, разница составляет около 30% — как для дистрибутивов Linux, так и для различных версий и редакций Windows.

При этом нужно подчеркнуть такой факт: от того, что, скажем, Mandriva PowerPack 2008.1 прошла сертификацию, боксы и коробки этого дистрибутива, тиражируемые и распространяемые российским отделение Mandriva и Линуксцентром, сертифицированными не становятся. Этот статус присваивается только дистрибутиву Mandriva PowerPack 2008.1, подготовленному и тиражированному непосредственно ФСТЭК, сопровождаемому, помимо стандартной лицензии Mandriva, его собственной документацией, указанный статус подтверждающей — собственно сертификатом.

Другое дело, что сам ФСТЭК дистрибутивами не торгует ни оптом, ни в розницу. Их распространением занимается, как правило, фирма-разработчик и её торговые партнёры. По крайней мере, это верно в отношении сертифицированной Mandriva: её продают те же самые Mandriva.ru и Линуксцентр, которые распространяют и Mandriva-лишенку. Что может быть поводом для недоразумений — как в отношении цены, так и “сертификационных свойств”. Не говоря уже о том, что потенциальные пользователи подчас банально путают лицензионные дистрибутивы и дистрибутивы сертифицированные.

Во-вторых, и это не менее существенно для пользователя, процесс сертификации не сиюминутный. А поскольку подвергается ему конкретная версия и редакция, то от выхода дистрибутива до получения сертификата может пройти значительное время. И потому пользователь обречён работать с версией, заведомо устаревшей. Что само по себе не смертельно — трудно представить себе инспектора отдела кадров, переустанавливающего систему с выходом каждой свежей версии.

Но ведь даже стабильные релизы время от времени подвергаются обновлению — по меньшей мере, для ликвидации выявленных дыр безопасности и добавления некоторых новых, возможно, важных, функций. Однако, если следовать букве закона, это автоматически влечёт за собой утрату статуса сертифицированности: ведь даже если речь идёт только о backports, а не о смене версии, например ядра, система перестают быть в точности той, которая подверглась экспертизе в ФСТЭК.

И это видится мне проблемой более серьёзной, чем дополнительные затраты при приобретении ПО. Я далёк от мысли, что сам ФСТЭК, при обнаружении дыр безопасности, накладывает патчи на ядро или другие компоненты дистрибутива. Деталей процедуры я не знаю, но по аналогии могу предположить, что в таких случаях система либо просто заворачивается, либо возвращается подателю его на доработку. Но все мы люди, все мы человеки, и эксперты ФСТЭК также не гарантированы от ошибок, как и разработчики дистрибутивов и многочисленные тестеры из состава комьюнити. Известно немало примеров, когда критически важные уязвимости всплывают через какое-то, иногда значительное, время после начала эксплуатации системы. И в этом случае эффект от сертификации может быть прямо противоположным задуманному: из боязни утратить сертификат пользователи будут отказываться от всех обновлений, в том числе и абсолютно необходимых.

И, наконец, третье: обязательная сертификация резко сужает возможность выбора для пользователей, вынужденных ей подчиниться в силу своих должностных обязанностей. Поскольку сертификацию системы должен кто-то продвигать, из этого круга автоматом выпадают операционки и дистрибутивы, за которыми стоит исключительно сообщество разработчиков, а не какая-либо фирма. Причём независимо от их достоинств именно в отношении качеств, для сертификации необходимых — устойчивости, защищённости, оттестированности кода. Тут к упоминаемой ранее OpenBSD можно добавить общепринятый оплот стабильности в Linux-мире — Debian. Да и всем без исключения BSD-системам на поприще сертификации ничего не светит. Не говоря уже о таких перманентно модифицируемых дистрибутивах, как Gentoo или Archlinux. И даже Ubuntu в своих LTS-версиях не кажется подходящим кандидатом в сертификанты: ведь “долгоиграющий” характер последних как раз и обсуловлен длительностью появления обновлений безопаности и бэкпортов.

Предвижу возражение: использование сертифицированного софта необходимо только в тех подразделениях предприятия, где действительно имеют дело с персональными данными, а в подразделениях технологических исполнителям работ вольно использовать любой подходящий дистрибутив, хоть LFS собственной выделки.

Однако есть немало сфер, где грань между подразделениями, использующими персональную информацию, и подразделениями, к оной отношения не имеющими, провести нелегко. Напрашивающийся пример — любой научно-исследовательский медицинский центр, практическая работа которого без персональных данных (причём часто гораздо более конфиденциальных, чем номер паспорта или адрес прописки) просто невозможна.

Да, тут можно найти обходной путь (эту мысль высказал Павел Фролов в обсуждении): в законе сказано, что с обезличенной персональной информацией можно работать и без сертификационных средств. Кстати, в этом случае не требуется и согласия персоны, к которой эти данные относятся.

То есть, фигурально выражаясь, информация, однозначно привязанная к конкретному субьекту, с указанием его социально-идентифицирующих атрибутов (ФИО, паспортных данных, адреса прописки etc.) хранится на сервере под управлением сертифицированной ОС, а для практической обработки поступает на рабочие станции, будучи привязана не к ним, а к некоему численному идентификатору, например. И потому на настольных машинах вполне может крутиться любая несертифицированная ОС.

Не очень представляю, как это выглядит с точки зрения закона, но с позиций простого здравого смысла очевидно, что профессионалу в своей предметной области не составит труда сопоставить “машинные” идентификаторы с идентификаторами социальными. И, следовательно, о сохранении конфиденциальности здесь уже говорить трудно. Разумеется, можно придумать серию промежуточных деперсонификаторов (по аналогии с прокси-серверами), но насколько это усложнит и без того не простые информационные системы?

И, наконец, банальный человеческий фактор: вы можете представить себе грамотного и благоразумного руководителя и его квалифицированного IT-специалиста, к мнению которого руководитель (давайте немного помечтаем) прислушивается, которые по доброй воле пойдут на создание заведомого зоопарка систем? Я — так не очень. И потому очевидно, что рабочие станции, не требующие сертифицированных систем, на данном предприятии будут нести тот же дистрибутив, что и критически важные с точки зрения конфиденциальности сервера, работающие под управлением его сертифицированного варианта. А насколько велико число последних — мы уже видели…

Вот пока и всё, что я хотел сказать относительно последствий всеобщей сертифицированности. Но, возможно, к этой теме придётся ещё вернуться.




Комментарии

Страницы комментариев: 1 :: 2 :: 3 :: следующая

Лекс, Thu Oct 22 14:07:35 2009:
Замечание к автору (не читал всю ветку комментариев, так что заранее извиняюсь, если было).

Для работы с персональными данными и защиты их можно использовать решения ИБ базирующиеся на несертифицированных ОС.
Необязательно переставлять ОС на всех АРМ, что работают с ПД. На базе несертифицированных ОС можно развернуть систему безопасности удовлетворяющую классу 1г для АС и 4 для СВТ.

Это обходиться зачастую дешевле нежели закупка и установка новых ОС.
Общий тон статьи мне показался излишне паническим.
аноним, Thu Sep 24 22:42:12 2009:
Комитет по борьбе с рекурсией решительно негодует на проверки на предмет коррупции Комитета по борьбе с коррупцией! Ибо это может привести в переполнению буффера вертикали власти.
аноним, Thu Sep 24 21:54:47 2009:
Благими намерениями... сами знаете куда...

Кстати...А этот закон прошёл проверку (сертификацию) на коррупционность?

А так - стандартный способ рубить бабло.
1. Проталкиваем под самым благовидным предлогом закон, который заранее невозможно выполнять. Потом держим на крючке "нарушителей" и получаем взятки.
2. Плюс денежки за сертификацию.

Всё в шоколаде.
аноним, Wed Sep 23 13:09:16 2009:
Ошибок и бэкдуров нет только в линукс, потому что она имеет открыиый код!
Слава Линукс!
аноним, Wed Sep 23 12:05:58 2009:
Только не нужно расказывать что какая-то конторка при ФСТЕК проанализировала исходный код WindowsXP "на предмет отсутствия ошибок в системе безопасности, наличия умышленно оставленных back doors и тому подобных недокументированных возможностей (НДВ)". Они просто рубят бабло за наш счет.
аноним, Tue Sep 22 14:47:06 2009:
У меня под линуксом огромный хуй и телок миллионы
а вы виндузятники все мудаки лохи и гондоны
Линукс лучший ОСь на свете, те кто против - мудаки
Виндовс пропиетарная ссанина, Билли пидор хуй соси
аноним, Mon Sep 21 20:20:47 2009:
"Известно немало примеров, когда критически важные уязвимости всплывают через какое-то, иногда значительное, время после начала эксплуатации системы."

У линукса это сплошь и рядом. Венда - вне подозрений. Патчи к венде будут сертифицироваться автоматически. В MS напишут скриптик для ФСТЭК, сертификация будет осуществляться централизованно, в рабочем порядке. Без всяких метаний по зеркалам и репозиториям.
аноним, Mon Sep 21 15:59:04 2009:
>кстати.о птичках.винда без антивируса невозможна,так?допустим,какая-нибудь версия каспера или нода получила сертификат.а они ставят свои драйверы в ситему,т.е.становятся постоянной часть системы.и им нужно обновляться,что защита от вирусов была на уровне.но после обновления это же уже другая версия продукта,не та,которая получала сертификат.где смысл?где логика?

Ну , не невозможна, условия эксплуатации разные выбают. Так ведь весь софт должен быть сертифицирован и винда и антивирус , все рабочее место. Это повсеместная практика, с точки зрения здравого смысла надо сертифицировать, чтоб всякое говно не ставили (игры и все то , что здоровому человеку в голову не придет). На практике выливается во взятки и произвол, причем ставить все подряд как правило не перестают. Если бы у нас законы работали как задумывались. Статья Америку не открыла и мне не ясно удивление и негодование комментов. Посмотрите как внедряют автоматику, там прошли во многом эту фазу, больше ответсвенности больше порядка.
аноним, Mon Sep 21 15:03:29 2009:
Фактически это лоббирование интересов крупных производителей ПО и принуждение организаций к закупкам ПО для внутренних нужд вместо самостоятельного его производства.
аноним, Sun Sep 20 23:50:37 2009:
кстати.о птичках.винда без антивируса невозможна,так?допустим,какая-нибудь версия каспера или нода получила сертификат.а они ставят свои драйверы в ситему,т.е.становятся постоянной часть системы.и им нужно обновляться,что защита от вирусов была на уровне.но после обновления это же уже другая версия продукта,не та,которая получала сертификат.где смысл?где логика?

Страницы комментариев: 1 :: 2 :: 3 :: следующая

Комментарии заморожены.

Новости:

Все новости на CitCity.ru

Компании месяца

 
Последние комментарии
Почему школам следует использовать только свободные программы (101)
20 Декабрь, 14:51
ОСТОРОЖНО: ВИНДОФИЛИЯ! (2250)

24 Декабрь, 22:53
Linux в школе: мифы про школу и информатику (334)
24 Декабрь, 22:43
Kubuntu Feisty (15)
24 Декабрь, 18:42
Software is like sex: it's better when it's free.
©Linus Torvalds