17 сентября, вторник 01:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Об умирающих парадигмах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от Toparenko Посмотреть сообщение
    Вот практический вопрос. Естественно не смотрим на решение суда т.к. оно ОЧЕНЬ своеобразно

    Пож. объясните как и какими сертифицированными средствами будем защищать валидатор кондуктора
    Встроенными !
    Проводим анализ системы в которую входят валидаторы.
    Строим модель угроз.
    Формируем требования по ЗИ.
    Оформляем (если есть) механизмы используемые ЗИ (если их нет берем другие валидаторы или дорабатываем)
    Декларируем документально что валидаторы в части таких то вопросов являются СЗИ
    Оформляем ТУ Формуляр и другую документацию
    Сертифицируем СЗИ - пользуемся...

    Комментарий


    • это ужасно

      Комментарий


      • Сообщение от swan1976 Посмотреть сообщение
        Встроенными !
        Я так понимаю, что ты готов взяться и готов гарантировать результат получения сертификата?

        Комментарий


        • Сообщение от Алексей Лукацкий Посмотреть сообщение
          Я так понимаю, что ты готов взяться и готов гарантировать результат получения сертификата?
          Первую часть готов провести - а как же...
          Уверен при наличии средств (опять условие ) вопрос решаем.

          P.S. Как говорит мой знакомый - "За деньги и я могу "

          Комментарий


          • Сообщение от swan1976 Посмотреть сообщение
            Первую часть готов провести - а как же...
            Уверен при наличии средств (опять условие ) вопрос решаем.

            P.S. Как говорит мой знакомый - "За деньги и я могу "
            Ну а т.к. обязательство использования сертифицированных решений лежит на потребители, то вопрос только в том, есть ли у того деньги.

            Ну раз ты готов сертифицировать валидаторы, то ответь, готов ли ты сертифицировать iPhone или аттестовать систему, в которой этот iPhone применяется? Возможно ли это? Не с точки зрения "за деньги я все могу", а с точки зрения требований СТР-К. Ведь Идущий смотрит на это с точки зрения потребителя, а ты представляешь контору, которая это делает.

            Комментарий


            • Сообщение от swan1976 Посмотреть сообщение
              Проводим анализ системы в которую входят валидаторы.
              Навскидку:

              Информационные системы оплаты проезда в общественном транспорте в составе ряда автобусных, тролейбусных, трамвайных парков и метро (при наличии) субъекта РФ.
              Информационные системы оплаты проезда в пригородном сообщении РЖД.

              Связанные системы с которыми происходит обмен данными (список планируют расширять):
              - информационные системы социального обеспечения субъектов РФ и муниципальных образований, входящих в данные субъекты
              - информационные системы банков (там где социальные карты еще и являются банковскими картами)
              - информационные системы ФОМС в субъектах РФ и муниципальных образованиях
              - информационные системы лечебно-профилактических учреждений
              - информационные системы сферы обслуживания и магазинов в рамках субъекта РФ
              - информационные системы ЖКХ

              Комментарий


              • Сообщение от swan1976 Посмотреть сообщение
                Оформляем (если есть) механизмы используемые ЗИ (если их нет берем другие валидаторы или дорабатываем)
                Примерно валидаторы выглядят так и, соответственно, начинка примерно такая

                Естественно в них придется всунуть ГОСТовскую криптуху

                Комментарий


                • Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Где стоит оборудование он знает. Но где на нем обрабатывается информация нет. Точнее знает. В каждый конкретный момент времени. Но заранее... увы. Сегодня у вас это лежит в Праге. Завтра, на сервера Праги пошел overloading и система сама принимает решение разгрузить сервера в Праге и перенести данные в Лондон. А послезавтра в Бангалор. И так может меняться постоянно.
                  Не система, а терминатор какой-то - все сама, да сама. Особенно нравится про перенос данных раз в сутки.

                  Комментарий


                  • Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Ну а т.к. обязательство использования сертифицированных решений лежит на потребители, то вопрос только в том, есть ли у того деньги.

                    Ну раз ты готов сертифицировать валидаторы, то ответь, готов ли ты сертифицировать iPhone или аттестовать систему, в которой этот iPhone применяется? Возможно ли это? Не с точки зрения "за деньги я все могу", а с точки зрения требований СТР-К. Ведь Идущий смотрит на это с точки зрения потребителя, а ты представляешь контору, которая это делает.
                    Вот например живой пример сертификации чего то на соответствие чего то - windows xp на соответствие ЗБ.

                    Нужно четко разграничивать два вопроса:
                    1 - реальная защита
                    2 - выполнение неких требований.

                    С точки зрения реализации неких требований - провести можно НО
                    можно и реализовать реальную защиту. Под "Можно" можно рассматривать от "Использование внутренних механизмов защиты" до "реализация под заказ соответствующих устройств в защищенном исполнении"

                    Если рассматривать полусерьезный подход - то нужно вникать в систему и выдумывать как протащить - и тут как Вы ожидаете я "Лапки кверху" ибо за эту даже полусерьезную работу мне никто платить не хочет. (проще/дешевле поступить как уже поступили)

                    Если пойти по серьезному пути - тут окажется что нет тех ресурсов во всех смыслах слова которые можно на это потратить.

                    Итого мы имеем ту картину которую имеем. Ничего нового я не добавлю - только озвучу то, что и так все понимают...

                    Комментарий


                    • Сообщение от Toparenko Посмотреть сообщение
                      Навскидку:
                      ***
                      Связанные системы с которыми происходит обмен данными (список планируют расширять):
                      - ***
                      Не думаю что это именно "Обмен данными" - скорее источники данных могут быть едиными... хотя... если пофантазировать - кому нужны данные об использовании проездных с точки зрения больных ?
                      Различным ведомствам для оптимизации - но я в это не верю...

                      Комментарий


                      • Сообщение от Toparenko Посмотреть сообщение
                        Примерно валидаторы выглядят так и, соответственно, начинка примерно такая

                        Естественно в них придется всунуть ГОСТовскую криптуху
                        А она там нужна ... криптухо та...
                        Почему бы не писать идентификатор в билет и его передавать...
                        Все остальное у большого брата...

                        P.S. - мы так увлечемся решениями за архитекторов "которых есть или нет" Но согласитесь решения у этих вопросов есть !!! Кто бы серьезно ими занялся !!!

                        Комментарий


                        • Сообщение от swan1976 Посмотреть сообщение
                          Но согласитесь решения у этих вопросов есть !!! Кто бы серьезно ими занялся !!!
                          Естественно есть, но парадигму периметровой защиты применить будет очень непросто. И переделывать то, что наворотили придется в достаточно большом объеме. Да и лишнюю инфу потребуется "покоцать"

                          К сожалению не вижу того у кого будет Воля, чтоб этим занялись...
                          РКН суд в Питере проиграл однако... Еще и с такими формулировками...

                          Комментарий


                          • Сообщение от swan1976 Посмотреть сообщение
                            Нужно четко разграничивать два вопроса:
                            1 - реальная защита
                            2 - выполнение неких требований.

                            С точки зрения реализации неких требований - провести можно
                            Не, ты от вопроса не уходи. Есть требования - СТР-К. Есть объект - iPhone. Можно или нет? Сразу замечу, что разработать свое приложение для iPhone нельзя.

                            Комментарий


                            • Сообщение от Алексей Лукацкий Посмотреть сообщение
                              Не, ты от вопроса не уходи. Есть требования - СТР-К. Есть объект - iPhone. Можно или нет? Сразу замечу, что разработать свое приложение для iPhone нельзя.
                              Окей отвечу предельно четко... только обещай что вопросов больше не задаешь про это !!!

                              Ответ - МОЖНО !!!

                              Комментарий


                              • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Есть требования - СТР-К. Есть объект - iPhone. Можно или нет?
                                да ладно айфон
                                щас даже комп с виндовс 7 аттестовать нельзя потому что сертифицированных сзи от нсд нет под эту ось

                                //предвидя возгласы про секретнет который будет вот-вот сертифицирован в 3 квартале и саму ось которая передана на сертификацию - я в курсе.
                                но факт что в настоящее время нельзя аттестовать рабочее место с семеркой остается фактом.
                                показательно имхо

                                Комментарий


                                • Сообщение от pushkinist Посмотреть сообщение
                                  да ладно айфон
                                  щас даже комп с виндовс 7 аттестовать нельзя потому что сертифицированных сзи от нсд нет под эту ось

                                  //предвидя возгласы про секретнет который будет вот-вот сертифицирован в 3 квартале и саму ось которая передана на сертификацию - я в курсе.
                                  но факт что в настоящее время нельзя аттестовать рабочее место с семеркой остается фактом.
                                  показательно имхо
                                  Ну ну... не так круто !!!

                                  Есть сертифицированное средство.
                                  Поздравим Андрея Владимировича Козлова (Золотая сотня wikisec.net) с получением сертификата соответствия на
                                  СЗИ "Страж NT" 3.0 (3 класс СВТ, 2 уровень НДВ). Данная СЗИ может использоваться в АС 1Б и ИСПДн к1.
                                  Работает с 32 разрядными ОС Windows 2000, XP, 2003, 2008, vista, 7 !!!

                                  http://guardnt.ru/2145.html - сертификат соответствия.

                                  Еще существует несколько проектов по сертификации самой 7 в одном из них (в пилотном) я поучаствовал...
                                  Про секретнету есть у меня лично некоторые вопросы но вдруг работодатель прочитает...

                                  Комментарий


                                  • Сообщение от swan1976 Посмотреть сообщение
                                    Страж NT 3.0 - от моего кореша - рекомендую !!!
                                    http://guardnt.ru/2145.html
                                    хм.. от 30 июля, свежак в принципе...
                                    не знал, спасибо за инфу

                                    Сообщение от swan1976 Посмотреть сообщение
                                    Еще существует несколько проектов по сертификации самой 7 в одном из них (в пилотном) я поучаствовал...
                                    имеется в виду поштучная сертификация?

                                    Комментарий


                                    • Сообщение от pushkinist Посмотреть сообщение
                                      хм.. от 30 июля, свежак в принципе...
                                      не знал, спасибо за инфу
                                      Всегда пожалуйста, обращайтесь !!!

                                      Сообщение от pushkinist Посмотреть сообщение
                                      имеется в виду поштучная сертификация?
                                      Нет не поштучная...
                                      Но, извините, по некоторым причинам я не хотел бы развивать эту тему. Дело не в том, что у нас конкретно что то технически не прошло... дело в другом... но не буду больше развивать тему...

                                      Комментарий


                                      • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Сертифицированные или просто внедрения ALT Linux?
                                        Кстати о птичках: Центр информационных технологий Республики Татарстан, Управление ЗАГС Кабинета Министров Республики Татарстан и Компания «Центр» реализовали проект по автоматизации ЗАГС.
                                        Система внедрена во всех городах, районных центрах Республики Татарстан (свыше 250 АРМ). Начато внедрение системы в сельских поселениях (около 1000 АРМ).

                                        Система построена на базе открытых технологий и СПО:
                                        * Технологии Java. Приложение может без изменений (без привлечения разработчиков) функционировать на Java-совместимой платформе: Linux, Unix, Windows. В текущей версии Система развёрнута на сертифицированной ФСТЭК версии операционной системы AltLinux;
                                        * SQL-совместимой реляционной СУБД. Система функционирует на JavaDBC-совместимой СУБД. Текущая система реализована на основе Oracle 11g RAC;
                                        * ОС AltLinux и ПО терминального доступа NoMachine NX на терминальных серверах;
                                        * Терминальных клиентов под управлением ОС AltLinux в качестве АРМ сотрудников ЗАГС;
                                        * СПО OpenOffice для работы с документами;
                                        * СПО Nagios для мониторинга всех компонентов системы;
                                        * Сертифицированное ФCБ средство криптографической защиты информации КриптоПро CSP;
                                        * Сертифицированный ФСТЭК межсетевой экран ЗАСТАВА-Клиент.

                                        Комментарий


                                        • Сообщение от Идущий Посмотреть сообщение
                                          Я могу поверить, что аутсорсер не сможет предположить откуда будет осуществляться обращение к информации, но поверить, что аутсорсер не знает где стоит его оборудование (это на нем хранится информация) - не могу.
                                          GRID-системы, например. В GRID-системе приложение может выполняться любым узлом, отвечающим заданными вами параметрами, и незнание актуального места обработки - однао из принципиальных свойств такой системы. Очень эффективная штука, даже в гражданском деле. А уж в военной сфере - летит десяток ракет и одна из них (произвольная!) берет на себя функции целеуказания для всех остальных.

                                          Комментарий


                                          • Сообщение от malotavr Посмотреть сообщение
                                            GRID-системы, например. В GRID-системе приложение может выполняться любым узлом, отвечающим заданными вами параметрами, и незнание актуального места обработки - однао из принципиальных свойств такой системы. Очень эффективная штука, даже в гражданском деле. А уж в военной сфере - летит десяток ракет и одна из них (произвольная!) берет на себя функции целеуказания для всех остальных.
                                            Я не о том, что таких систем нет.
                                            Я о том, что люди управляют системами, а не системы людьми.

                                            В завершение дискусси могу сказать следующее:
                                            КЗ и периметр умрут только после исчезновения государств и незаконопослушных людей.

                                            Комментарий


                                            • Сообщение от Идущий Посмотреть сообщение
                                              В завершение дискусси могу сказать следующее:КЗ и периметр умрут только после исчезновения государств и незаконопослушных людей.

                                              Комментарий


                                              • Сообщение от malotavr Посмотреть сообщение
                                                Это как?

                                                Комментарий


                                                • Сообщение от Идущий Посмотреть сообщение
                                                  Это как?
                                                  Э... Альтернатива желанию убиться об стену Не принимайте всерьез, просто эмоция

                                                  Комментарий

                                                  Пользователи, просматривающие эту тему

                                                  Свернуть

                                                  Присутствует 1. Участников: 0, гостей: 1.

                                                  Обработка...
                                                  X