nixp.ru v3.0

3 декабря 2024,
вторник,
17:22:02 MSK

7 июня 2012, 15:07

Специальная сборка Linux-дистрибутива ROSA получила сертификат ФСТЭК

2
РОСА
РОСА
Иллюстрация с сайта Rosalab.Ru

Российская компания РОСА объявила о завершении сертификации её одноимённого Linux-дистрибутива в Федеральной службе по техническому и экспортному контролю (ФСТЭК).

Для сертификации была представлена «специальная сборка дистрибутива [ROSA Linux], включающего и десктопные и серверные компоненты». Получен Сертификат ФСТЭК №2646, подтверждающий, что ROSA Linux соответствует требованиям 5 класса защиты информации от несанкционированного доступа и 4 уровня контроля от недекларированных возможностей. Сертифицированная версия ROSA Linux может применяться для работы с персональными данными, служебной и конфиденциальной информацией, для разработки автоматизированных систем с классом защищённости по 1Г включительно и систем защиты персональных данных по К1 включительно. Срок действия сертификата — 3 года.

Одновременно с этим РОСА сообщила о подготовке платформы, которая будет сертифицирована для работы с государственной тайной.

Постоянная ссылка к новости: http://www.nixp.ru/news/11797.html. Дмитрий Шурупов по материалам Rosalab.Ru.

fb twitter vk
pinnocio964

Чем то AltLinux напоминает… притом всем…

Дмитрий Шурупов

Чем же «всем»? Сертификатом ФСТЭК и российским происхождением? Хотя даже происхождение у них очень по-разному «российское»…

pinnocio964

Ну это первый взгляд, я его еще не пробовал в деле. Ощущение (именно ощущение) такое появилось после того, как по сайту полазил))

eugene doe

Любопытно, а вот как на деле происходит проверка «защищённости»? Вот есть какое-то десктопное приложение и как они определяют есть там закладки или нет? аудит исходного кода что ли? или те же системные части, ядро на худой конец… Кто-нибудь может «на пальцах» объяснить?

Дмитрий Шурупов

Да, исходники смотрят. Вот официальный документ (правда, от «пальцев» он далек): www.fstec.ru/_docs/doc_3_3_010.htm

eugene doe

3.2.1.Контроль состава и содержания документации

3.2.2. Контроль исходного состояния ПО

3.2.3. Статический анализ исходных текстов программ

Статический анализ исходных текстов программ должен включать следующие технологические операции:

— контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;

— контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.2.4. Отчетность

 

Пункты 1, 2 и 4 неинформативны — они просто декларируют необходимость наличия документации и исходников — но если они есть, это далеко не значит, что он корректны/безопасны и т.д.

А что скрывается за 3 пунктом я лично не понял.

Вывод: очень уж похоже на «типичная никому не нужная бюрократическая хрень, собираемая для галочки». При этом необходимость этой галочки определяется не здравым смыслом, а суровой бюрократической реальностью и тупоумием чиновников и системы.

Но все-равно молодцы, реальность важнее безупречности идей :)