НовостиСобытияКонференцииIT@Work
Open Source:

Блог

Информационная безопасность: трактовка РАСПО

РАСПО решила возобновить свою переписку с Минкомсвязи. Восьмого октября ассоциация направила заместителю министра Шмулевичу письмо с замечаниями и предложениями по разрабатываемой министерством стратегии развития ИТ-отрасли России. В нём упоминается и вопрос о информационной безопасности.

С точки зрения РАСПО с точки зрения безопасности необходимо учитывать следующие риски:

— прекращение поставок по самым разнообразным причинам;
— возможность наличия "закладок", от чего не гарантирует наклейка от ФСТЭК;
— критическое отставание ИТ-отрасли в сегменте разработки системного ПО.

Первый тезис сам по себе вызывает некоторые сомнения. В случае с "байтами" прекращение официальных поставок ровным счётом ничего не значит. В конце концов, некоторая (и немалая) часть пользователей до сих пор эксплуатируют "пиратские" версии и нисколько от этого не страдают.

Другое дело — первый тезис в сочетании со вторым. Лично я никогда не поверю, что в серьёзном ППО нет модуля его дистанционного отключения. Хотя бы потому, что никаких иных разумных причин скрывать код от сообщества попросту нет. Если скрывают, то что-то прячут.

Впрочем, сложность современного ПО такова, что "закладку" можно спрятать и в открытом коде. Поэтому, единственная более-менее действенная гарантия безопасности — полный контроль над написанием кода. Подчёркиваю — это вовсе не означает отделения от всего остального мира. Одно дело — обмен техническими идеями, другое — бездумное копирование.

Отсюда третий тезис. На мой взгляд, самый важный. И дело тут не в экономической целесообразности, а в потенциальной возможности. Основной параметр — срок, за который России готова перейти на использование только отечественного ПО, если прекратятся его поставки. Интуиция мне подсказывает, что не существует даже его оценочных значений.
Голубев Сергей
Я о том, что оно есть и своё.
А кто говорит, что нет? Но, "чтобы стоять на месте, надо бежать вперёд". А мы не бежим. И даже не ползём.
Кутахов Евгений
Процессоры - мцст(эльбрусы), нииси РАН (комдивы)
Операционки - РусБИТех (астра линукс), альтлинукс, вниинс (мсвс)
СУБД - Релэкс (Линтер), PostgreSQL в разных инкарнациях в составе сертифицированных ОС
АВЗ - касперский, дрвеб
ГИС - КБ Панорама (Панорама), НИИТП (Интеграция)
АПМДЗ - ОКБ САПР, Анкад, РусБИТех, Код безопасности
....
Это ещё не вся номенклатура предприятий и их продукции, известных мне для защиты гостайны.
Только что на слуху.
Какие есть опасения у распо по поводу угрозы информационной безопасности государства?
Голубев Сергей
Вот такие — http://www.pcweek.ru/foss/blog/foss/5726.php
Одного наличия разработчиков мало. Закон нужен.