Блог

На сайте Zakon.ru опубликован весьма занятный документ "Операционная система на компьютере: правовые и коммерческие риски", подготовленный частнопрактикующим юристом Романом Мылицыным. По словам самого автора, он собрал в одном документе всю доступную обычному человеку информацию о сертификации операционных систем в России.

[spoiler]К сожалению, сугубо технических данных в документе нет. Автор, собственно, и не ставил перед собой такой цели. Он честно пишет, что хотел только помочь руководителям предприятий быстрее сориентироваться в требованиях действующего законодательства. К тому же, речь идёт не о безопасности вообще, а о т.н. информационной безопасности, которая регламентируется следующими нормативными актами:

• "Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации . Классификация по уровню контроля отсутствия недекларированных возможностей", утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 04.06.1999 г.
  
• "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.
  
• "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденного решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.
  
• ФЗ "О государственной тайне"
  
• Постановлением Правительства Российской Федерации от 26.06.95 г. № 608 "О сертификации средств защиты информации"
  
• Приказом ФСБ РФ от 13 ноября 1999 г. № 564 "Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия".
  

Как нетрудно заметить, уже неоднократно обсуждаемая нами сертификация к безопасности относиться постольку поскольку — только в той её части, которой занимаются "секретчики", отвечающие только за то, чтобы "ничего не вынесли". А тем, чтобы "никто ничего не внёс" занимаются совсем другие люди.

Тем не менее, даже по требованиям "секретчика" системы от Microsoft выглядят крайне бледно. Вот, например, кусок таблицы, отражающей классификацию по уровню контроля отсутствия недекларированных возможностей. Ни одна из версий Windows эту сертификацию не прошла:



Зато системы Linux представлены достаточно широко. Тем не менее, к полному контролю кода эта информация вряд ли применима. У меня складывается впечатление, что по каким-то причинам, о которых я могу только догадыватся, концепция безопасности у нас какая-то урезанная и адаптированная под экономическую систему, которая сама ничего не производит.