From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham version=3.2.5 From: =?koi8-r?Q?=ED=C9=C8=C1=C9=CC_?= =?koi8-r?Q?=FB=D5=D7=C1=CC=CF=D7?= To: ALT Linux Community general discussions In-Reply-To: <777d80610905110442n7d27ae4bp882f27111165df7@mail.gmail.com> References: <648106595.20090509125719@gmail.com> <20090509070056.GF6012@wrars-comp.wrarsdomain> <1241941674.8869.8.camel@mikes-ws.shuvaloffs.net> <200905111048.41021@ruslandh> <1242040367.8766.7.camel@mikes-ws.shuvaloffs.net> <777d80610905110442n7d27ae4bp882f27111165df7@mail.gmail.com> Content-Type: text/plain; charset="UTF-8" Date: Mon, 11 May 2009 22:20:24 +0400 Message-Id: <1242066024.10785.34.camel@mikes-ws.shuvaloffs.net> Mime-Version: 1.0 X-Mailer: Evolution 2.26.1.1 (2.26.1.1-alt1) Content-Transfer-Encoding: 8bit Subject: Re: [Comm] =?koi8-r?b?88XS1MnGycPJ0s/Xwc7O2cogxMnT1NLJwtXUydc=?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 11 May 2009 18:20:45 -0000 Archived-At: List-Archive: List-Post: В Пнд, 11/05/2009 в 15:42 +0400, Aleksey Novodvorsky пишет: > 11 мая 2009 г. 15:12 пользователь Михаил Шувалов написал: > > В Пнд, 11/05/2009 в 10:48 +0400, Хихин Руслан пишет: > >> Здравствуйте Михаил Шувалов > >> > А вот интересно. Дистрибутив сертифицирован ФСТЭК. Это > >> > хорошо. А вот как > >> > его обновлять? Ладно там какие-то улучшения, а устранения > >> > уязвимостей? С > >> > этим как быть? Или для сертифицированных дистрибутивов идут > >> > отдельные, > >> > сертифицированные, обновления? Сомневаюсь... > >> Как я помню - любое обновление сертифицированного ПО требует, как > >> мимнммум, утверждение сертифицирующем органом. Если превышен > >> определённый процент, то требуется новая сертификация (за новые > >> деньги). Так, что выгоднее не обновлять такие дистрибутивы. > > > > Ну а если нашлась критическая уязвимость в одном из компонентов > > сертифицированного дистрибутива? По идее вина в этом > > разработчика/сертификационного центра (ФСТЭК). Получается клиент должен > > выкладывать свои кровные за чужие ляпы? Бред какой-то (ничего > > личного :) ) > > На самом деле, сертификация обновлений не может быть совсем быстрой, > но реально выгодной производителям и сертифицирующим организациям она > станет лишь при массовом внедрении сертифицированных продуктов. Другое > дело, что их массовое внедрение -- нагрузка на потребителя. > Конечно, сертификация, при всей ее неоходимости в отдельных случаях, у > нас стала вариантом лицензирования ПО, просто с менее строгим > наказанием. Это плохо, хотя и позволяет мне как производителю иметь > свою копеечку. Мне важно лишь точно объяснить потребителю, нужен ему > сертификат или нет, чтобы он не тратил деньги без крайней > необходимости, чтобы не было заведомого обмана с моей стороны. > Я вижу сейчас только один способ избежать таких принудительных продаж > -- сертифицировать процесс производства системы и проверять его > уполномоченными сертифицирующими организациями. Но это заведет нас в > ловушку "национальной ОС". А почему бы и нет? Вспомним, как было раньше: на каждом (ну или почти на каждом) (около)оборонном заводе присутствовали сотрудники определенных органов. А чем ОС и ПО, установленные на компьютере в государственной/муниципальной организации сильно отличается от продукции, выпускаемой на этих самых заводах? Конечно уровень секретности в каком-нибудь "собесе" и министерстве обороны должен быть разный, но тем не менее некий, хотя бы минимальный контроль должен присутствовать. > Вообще говоря, любой контроль за информацией ведет к ужесточению > госрегулирования. И здесь уж или смириться с продажей на лотках баз > данных с информацией о нас самих, или со всеми последствиями > огосударствления разработки и распространения ПО. Я как гражданин > предпочел бы первое, но это мое, совсем не общее мнение. > Это описка? Наверное имелось в виду второе? Я, например, совершенно не хочу, что бы любой мог просмотреть всю мою подноготную. И это я, простой гос. служащий. А какого людям, занимающимся бизнесом? > В заключение хочу сказать, что проблема эта весьма сложная, на уровне > дискуссий либералов и государственников, и я бы не стал усматривать > здесь злую волю на уровне системы. Конечно, на уровне исполнителей эта > злая воля всегда может быть. > Я вижу тут только одно решение: во всех (около)государственных организациях (и организациях стратегического значения) должны стоять определенным образом проверенные ОС и ПО. -- С уважением, Михаил Шувалов