НовостиСобытияКонференцииФорумыIT@Work
Open Source:

Блог

Информационная безопасность: трактовка РАСПО

Сергей Голубев
29.10.2013 10:55:28
Теги: НПП, РАСПО

РАСПО решила возобновить свою переписку с Минкомсвязи. Восьмого октября ассоциация направила заместителю министра Шмулевичу письмо с замечаниями и предложениями по разрабатываемой министерством стратегии развития ИТ-отрасли России. В нём упоминается и вопрос о информационной безопасности.

С точки зрения РАСПО с точки зрения безопасности необходимо учитывать следующие риски:

— прекращение поставок по самым разнообразным причинам;
— возможность наличия "закладок", от чего не гарантирует наклейка от ФСТЭК;
— критическое отставание ИТ-отрасли в сегменте разработки системного ПО.

Первый тезис сам по себе вызывает некоторые сомнения. В случае с "байтами" прекращение официальных поставок ровным счётом ничего не значит. В конце концов, некоторая (и немалая) часть пользователей до сих пор эксплуатируют "пиратские" версии и нисколько от этого не страдают.

Другое дело — первый тезис в сочетании со вторым. Лично я никогда не поверю, что в серьёзном ППО нет модуля его дистанционного отключения. Хотя бы потому, что никаких иных разумных причин скрывать код от сообщества попросту нет. Если скрывают, то что-то прячут.

Впрочем, сложность современного ПО такова, что "закладку" можно спрятать и в открытом коде. Поэтому, единственная более-менее действенная гарантия безопасности — полный контроль над написанием кода. Подчёркиваю — это вовсе не означает отделения от всего остального мира. Одно дело — обмен техническими идеями, другое — бездумное копирование.

Отсюда третий тезис. На мой взгляд, самый важный. И дело тут не в экономической целесообразности, а в потенциальной возможности. Основной параметр — срок, за который России готова перейти на использование только отечественного ПО, если прекратятся его поставки. Интуиция мне подсказывает, что не существует даже его оценочных значений.

Комментариев: 19

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

29.10.2013 12:19:04

Мне кажется, что РАСПО путает вопросы информационной безопасности и национальной безопасности...
Вроде бы до весны далеко, а влиение солнечной активности чувствуется smile:-)

29.10.2013 12:40:06

Не путает, а обращает внимание на то, что решение второстепенных вопросов без решения основных не имеет никакого смысла.
Если у футболиста сломана нога, то методика тренировки подачи углового (узкого вопроса) должна начинаться с пункта "вылечить ногу" (широкого вопроса).

29.10.2013 12:44:49

Тогда нужно начинать с вопросов исполнения Конституции страны...

А потом - с того, чем должно заниматься МКС и чем оно заниматься не должно...

29.10.2013 12:54:59

Достаточно знания того, что МКС должно заниматься ИТ-отраслью. А получается, что "их профессура готова к бою, а наша только и может бабочек ловить!" smile:)

29.10.2013 13:03:41

ЛУчшмй вариант таких занятий - отправить из в бессрочный отпуск или на пенсию

29.10.2013 13:27:54

Вот когда отправят, тогда и отправят. А пока руководят именно они.

29.10.2013 13:29:53

Да, ничем они не руководят. Только делают вид, не более того.

29.10.2013 13:37:28

Под "руководить" я имею в виду должность, а не процесс. По должности пока (надеюсь, пока) они руководители отрасли. И по всем вопросам следует обращаться именно к ним.

30.10.2013 10:43:47

а что есть Россия в смысле ИТ? это что - министерство или ИТ-компании? если это всё таки компании составляющие основу ИТ-рынка, то
какой смысл создавать нечто "отечественное", когда opensource не имеет границ. Примеров участия российских компаний в таких проектах масса, примеров ведения бизнеса с использованием таких открытых проектов масса. Не являются ли флюктуирующие потуги распо попыткой присесть на кончик госбюджета, выдав очередной открытый проект за "отечественный"? сегодня в россии существует большое количество сертифицированных средств, как чисто российской разработки, так и на основе открытых проектов, в т.ч. и системное ПО - операционные системы, СУБД и проч. Номеклатура вполне достаточна. Из письма я бы выделил только - необходимость стандартизации требований государства и разработку тестов и методического обеспечения проверки соответствия этим стандартам, как основной стимул и как средство контроля при размещении контрактов. Собственно, всё. Долой НПП smile8)

30.10.2013 10:58:37

Цитата
Примеров участия российских компаний в таких проектах масса, примеров ведения бизнеса с использованием таких открытых проектов масса.


Участия на каких ролях? Кто контролирует разработку ключевых элементов? Сколько россиян в техсовете LF?

Donat Lipkovsky
30.10.2013 16:15:08

Цитата
потуги распо попыткой присесть на кончик госбюджета, выдав очередной открытый проект за "отечественный"


вот тут вы самую суть ухватили. Маленькая поправка - далеко не на "кончик"

30.10.2013 16:44:07

Удобно устроился в кресле и жду рассказа о пяти распиленных миллионах smile:).

Donat Lipkovsky
30.10.2013 16:59:02

Ну это вы спешите. Госбюджет пилить всё равно подо что - ППО или СПО.

Donat Lipkovsky
30.10.2013 16:53:54

Цитата
прекращение поставок по самым разнообразным причинам;


Как сказал герой одного из фильмов - "Вопрос хороший, глубокий".... но почему он кажется мне, и не только мне, немного спекулятивным в устах РАСПО?!
Дело в том, что по указанным в письме причинам нам перестанут поставлять не только программное обеспечение, но и комплектующие... да и не только. На чём СПО работать будет?

Есть у нас одна замечательная контора, которая тихим сапом делает своё дело. Вот, что она делает например http://www.mcst.ru/monoblok-km4elbrus, именно на её, как говориться Хареде$Софте, работает наше ПРО и не только.
Насколько мне известно это практически единственные ребята в нашей стране, которые могут делать с ядром Linux'а всё что угодно и поддерживать его разработку отдельно от Торвальдса. По крайней мере они уже делают, перестроив в ядре практически всё под свои, подчёркиваю, отечественные, комплектующие http://www.mcst.ru/os_elbrus.
Вы по-изучайте сайтик - найдёте много познавательно и, самое главное, конкретно сделанного, в отличае от постоянного нытья РАСПО.

На второе место я бы поставил ALTlinux. Кстати, с радостью узнал, что из РАСПО она ушла.






30.10.2013 17:02:23

Нисколько не умаляя достоинства этих компаний, хочу заметить:
1. Эльбрусы почему-то так и не дошли до прилавков магазинов.
2. С настройкой тачпада у альтов пока ещё не всё хорошо.

Donat Lipkovsky
30.10.2013 17:14:33

Я пока не о "прилавках". Я о том, что оно есть и своё.
Да, с тачпадом напряг - сам на нетбуке с Altlinux Simply мучаюсь. Ещё, правда, кое с чем мучаюсь. До этого стояла Ебунта ) - там проблем было значительно меньше, но я тут в блогах проникся патриотизмом и поставил. Не суть. Статья не про это.

30.10.2013 18:21:59

Цитата
Я о том, что оно есть и своё.

А кто говорит, что нет? Но, "чтобы стоять на месте, надо бежать вперёд". А мы не бежим. И даже не ползём.

30.10.2013 20:19:20

Процессоры - мцст(эльбрусы), нииси РАН (комдивы)
Операционки - РусБИТех (астра линукс), альтлинукс, вниинс (мсвс)
СУБД - Релэкс (Линтер), PostgreSQL в разных инкарнациях в составе сертифицированных ОС
АВЗ - касперский, дрвеб
ГИС - КБ Панорама (Панорама), НИИТП (Интеграция)
АПМДЗ - ОКБ САПР, Анкад, РусБИТех, Код безопасности
....
Это ещё не вся номенклатура предприятий и их продукции, известных мне для защиты гостайны.
Только что на слуху.
Какие есть опасения у распо по поводу угрозы информационной безопасности государства?

30.10.2013 20:46:40

Вот такие — http://www.pcweek.ru/foss/blog/foss/5726.php
Одного наличия разработчиков мало. Закон нужен.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии