НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

"Сказки о безопасности". Что бы это значило – "эталонное ПО"?

Андрей Колесов
08.07.2015 11:14:19

Вчера увидел публикацию, название которой сразу заинтриговало меня – "Сказки о безопасности: Создание архива эталонного ПО". А именно заинтересовал термин "эталонное ПО". Дело в том, что я в софтверной сфере работаю несколько десятков лет (да, так долго живут), но термина такого не слышал. Точнее, возможно и слышал, но его точно нельзя назвать "общепонятным". Поэтому стало интересно – что же имеет в виду автор.

Но все оказалось много интереснее, поскольку рассказ (трудно это назвать формальным словом "статья") был написан в оригинальном стиле именно сказки и врезками-советами (моралями). Более того, оказалось, что речь идет не об отдельном рассказе о, наверное, целом цикле, который будет иметь продолжение: вчера же появилась еще одна такая сказка – про BYOD.

Тут я должен заметить, что некоторые сомнения у меня появились, как только я увидел заголовок рассказа, насторожило слово "сказка". Дело в том, что оно имеет в русском языке разные смыслы. Главное из них – жанр выдуманных, часто фантастических, историй для детей. Но есть из другой, тоже очень популярный, - "не рассказывай мне сказки!".

В каком же смысле использует это слово автор рассказов? Оказалось, что все же, в основном, в первом… И по этому поводу сразу вспоминается известная история с "Гаврилиадой" ("12 стульев") и изречение начальника литстранички журнала "Гигроскопический вестник:

Цитата
Давно пора в популярной форме проводить идеи профилактики

В данном случае – "идеи безопасности".

Теперь возвращаюсь, собственно к эталонному ПО.
История, изложенная в сказке, и ее мораль очень понятны: важные документы (рекордсы) нужно тщательным и – главное – изначально продуманным образом, отдавая себе отчет, что "ничто не вечно на земле". Подлинники должны храниться в надежном месте (специально оборудованном и лучше – географически удаленном), а в оперативной работе использовать копии, для которых тоже хорошо бы иметь резервный архив (копии копий).

Совет, по-моему, очевидный, хотя напоминать о нем имеет смысл регулярно (не все очевидно нужные вещи мы делаем в реальной жизни).

Правда, я тут отмечу, что для электронных документов вопросы обеспечения безопасности решаются много проще и надежнее, чем для бумажных (а, кажется, именно бумажные имеются в виду в сказке). Дело в том, что если у бумажных может быть только один экземпляр подлинника, то для электронных их может быть бесконечное множество. Т.е. в оперативной работе могут использовать не копии подлинника, а экземпляры именно подлинника. И еще – можно достаточно легко сделать МНОГО архивов, причем, которые будут хранить не копии, а подлинники. Ну, и конечно, вопрос, географической распределенности (наводнения, землетрясения, войны) решается в электронном варианте на порядки проще.

Итак, по поводу организации работы с документами – все понятно. Но откровенно смутила заключительная мораль сказки

Цитата
Читателю. Еще в давние времена появилось такое понятие как архив эталонного программного обеспечения. И сегодня в каждой уважающей себя организации существует архив эталонного ПО, а работают с его копиями.

Повторю: я работаю в софтверной сфере, но о понятии "архив эталонного ПО" не очень слышал. Что именно автор имеет в виду?

При этом меня еще сильно смутил неожиданный переход автора от "документов" к "ПО". Дело в том, что "документ" и "ПО" – совсем не одно и то же. Более того, ПО – это весьма широкое понятие, которое включает разные сущности. Например, дистрибутив Word, записанный на CD, и программа Word, установленная на конкретном компьютере – это разные вещи. В очень упрощенном виде можно привести такую аналогию: колбаса (продукт), которую мы покупаем в магазине, и то, что получается в результате съедания этой колбасы в нашем желудке.

Что же имел в виду автор под "эталонным ПО" – дистрибутивы или же установленные программы? (Колбасу, которая лежит в холодильнике, и ту, что уже в желудке?).
Если дистрибутивы, то тут все ясно: это как раз "документы", и нужно делать их резервные копии (копии архива). И тут, кстати, возникают все те же проблемы, что и с электронными документами: например, нужно переносить "документы" с одного типа носителя на другой (с дискеты на CD, с CD на магнитный диск или на флешку и т.д.).

Если же речь идет об установленном ПО, то в отличие от перевариваемой колбасы, то его тоже нужно "резервно копировать", но процессы (и копирование и восстановление) тут намного сложение, чем с документами.

Но все таки: что же такое "эталонное ПО"? Обращаюсь к поисковику Интернета.

В Вики такое понятия не нахожу, что уже само по себе говорит, что термин этот не очень "обычный". Есть только определение в Консультанте-Плюс:

Цитата
Эталонное ПО - программное обеспечение, отвечающее наивысшим требованиям к его точностным и функциональным характеристикам, подтвержденным (в ряде случаев независимыми методами) при его неоднократном тестировании и использовании..."Извлечение из документа:"Общие требования к программному обеспечению средств измерений. Рекомендация. МИ 2891-2004"(утв. ФГУП ВНИИМС Ростехрегулирования 07.12.2004)


Проще говоря – это именно эталон, с которым можно делать сравнение других программ. Например, мы может признать Word эталоном (лучшим образцом данного вида продукции) и проводится сравнение всех текстовых редакторов именно с ним для понимания насколько хорош каждый конкретный продукт.

Пользуясь, аналогией с колбасой: есть эталон "докторской колбасы" (который хранится каким-то образом в Роспотребнадзоре) с которым можно сравнивать продукцию с названием "докторская колбаса" разных заводов.

Короче говоря: оказалось, что сказка все же рассказывает не про эталонное ПО, а про необходимость резервного копирования ПО (в том числе дистрибутивов). Про эталонное ПО нужна другая сказка…

Комментариев: 25

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

08.07.2015 11:43:16

У нас с вами понятие эталон несколько разное. С точки зрения безопасности эталонное - это то неизменное с чем мы можем сравнивать.
Т.е. купили ПО - положили в фонд эталонного.
Мы больше с самим, именно купленным образцом, не работаем. Это эталон. Мы работать будем с копией. А это положено хранить. Мало ли. DVD разорвало в приводе. Поцарапал. Такое бывает? Безусловно. Проблема? Нет. Мы снова делаем копию с эталона и с ней работаем.
А вот работать с эталоном нельзя. Он - образец. Точно так - разработали ПО. Закончили. Сдали в работу. Все. Это ПО - эталон. Все остальное - изменения к нему

08.07.2015 12:01:19

Да, я понял, что у нас разные предстарвления. Вопрос - у кого правильное?
Почитайте разные словари - что такое "эталон".

Вы путаете понятия "подлинника" и "эталон". "Подлинник", "копия" и пр - это из области "документов". А "эталон" - это совсем из другой сферы, это, если угодно, вопрос сертификации. Чтобы установить, что продукт отвечает сертификационным требования используют сравнение с эталоном.

Искренне советую, чтобы вас понимали широкие массы использовать правильные термины.

И еще советую, чтобы был понятен смысл вашей сказки, говорить не о "ПО" вообще, а именно о дистрибутивах ПО, с которых производитится установка "рабочего ПО".

08.07.2015 12:04:35

Я никому и ничего не советую. И выражаю свое мнение. Ваше может с ним не совпадать. И это совсем не значит что неверно одно из них

08.07.2015 12:09:07

Конечно, можно называть корову лошадью, ссылаясь на то, что "таково мое мнение" smile:)

08.07.2015 12:11:13

Конечно. Только вот можно реально работать в ИБ, а можно просто писать статьи smile:) Я, безусловно, могу дать определение что такое фонд эталонного ПО, да вот вам от этого легче не станет. Определения из Википедии ой какой источник

08.07.2015 12:17:24

Управление автоматизации (фонд алгоритмов и программ - ФАП)
• ведет общий перечень задач, решаемых в АС организации;
• по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;
• совместно с отделами разработки и сопровождения Управления автоматизации и отделом защиты информации оформляет формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;
• хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;
• осуществляет выдачу установленным порядком (во временное пользование) специалистам отдела технического обслуживания Управления автоматизации лицензионных дистрибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.[B]

Как видите, здесь однозначно дается определение

08.07.2015 13:04:46

Хорошо бы увидеть ссылку на этот документ.

Но что я могу сказать: я вижу много наших государственных документов и вижу там много неграмотности.

Например, есть один известных ECM-эксперт, которые утверждается, что английский "records" нужно переводить на русский язык, как "документ". При это он (она) ссылается на некий ГОСТ. А потом выясняется, что перевод этого ГОСТа (был взят международный) делала именно она.
Интересно - кто автор документа, на который вы ссылаетесь?

08.07.2015 13:06:44

Я предлагаю не переходит на обсуждение личностей участников разговора. И не обсуждать, что проще - заниматься разговорами о безопасности или писать статьи для сотен тысяч читателей.
У нас в редакционном блоге это не принято.

Donat Lipkovsky
08.07.2015 19:23:08

На самом деле, автору первоначальной статьи, не стоило говорить о документах - получилась некорректное образное сравнение.
Точнее, оно могло бы быть корректным, если бы речь шла о исходном коде программ, т.е. текстовом документе.
В общем, к названию статья относится напрямую только последний абзац.

08.07.2015 20:26:30

Можно было бы вполне привязать историю конфликта персонажей истории и к ПО, если была высказана рекомендация особо хранить именно подлинники купленных дистрибутивов, на случай проверки со стороны правоохранительных органов на предмет их лицензионности.

Donat Lipkovsky
08.07.2015 21:01:58

Для организаций подлинники дистрибутивов не являются подтверждением лицензионности.
Для фискальных органов подтверждением лицензионности является финансовые документы на покупку продукта и документы лицензий и т.п., причём оформленные именно на то юридическое лицо, в котором продукт используется или на аффилированное.
Кроме того, например продукты Microsoft вы можете всегда загрузить в личном кабинете, который появляется у организации при покупке лицензионного продукта. Там имеются, как сами образы дистрибутивов, так и вся информация по лицензиям. Надобности хранить копию нет. А вот Microsoft, вполне возможно, имеет некий эталон DVD - надо же на основе чего-то штамповать болванки. Но это предположение, как там у них на самом деле, я не знаю.
Для не корпоративных пользователей, сохранение исходных носителей актуально, например, для некоторых игр, которые поставляются на защищённых носителях и сам запуск игры происходит только при наличие исходного диска.

08.07.2015 21:10:32

Да, это все так!

08.07.2015 12:03:13

У эталонного ПО и резервных копий разные цели. Допустим в отделе матмоделирования сваяли какую-то модель, получили кучу пряников и передали программу другому отделу. А в другом отделе говорят, что вот мы по этой модели посчитали, всё как надо сделали, а на испытаниях недолёт. Тогда авторы модели берут эталонное ПО и сравнивают с тем, на котором считали. И говорят, что вы там чего-то переделали, поэтому к нам претензий никаких.

08.07.2015 12:08:18

Я именно об этом писал в комментарии выше.

08.07.2015 12:16:33

Ну да. Просто резервная копия — техническая сущность, а эталон — организационная. Поэтому первые хранятся у админа, а вторые — в опломбированном ящике в 1-м отделе smile:).

08.07.2015 13:00:43

Совершенно точно! Подлинник, копия - это реальный, конкрентный объект (физический или информационный). А эталон - это набор параметров. Как частный случай эталон может быть реализован в виде объекта (на котором эти параметры зафиксированы), а может быть - в виде тестового описания параметров на бумаге.
Классический пример - эталон метра. Раньше он был зафиксирован в виде металлического (забыл какого именно металла) бруса, а сейчас - в виде текстового описания - https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D1%82%D1%80

08.07.2015 15:19:18

Я раньше считал, что "эталонное ПО" - это перевод термина 'reference implementation'.
Ну например, есть какая-нибудь спецификация или стандарт (например J2EE.)
И разработчик этой спецификации делает свою реализацию, такую, которая в точности соответствует требованиям этой спецификации, чтобы другие могли посмотреть, как правильно реализовывать эту спецификацию.
Реально работать с таким эталонным ПО нельзя, т.к. оно с точки зрения практической пользы слишком примитивно, но зато строго соответствует стандарту.

08.07.2015 15:54:09

Посмотрите комментарии к данному посту. Ровно об этом (что вы сказали) мы с Сергеем и говорим автору статьи Владимиру Безмалому.
Эталон - это именно референсная модель, с которой можно сравнивать на соответствие конкретные образцы.

08.07.2015 21:28:29

Цитата
Ровно об этом (что вы сказали) мы с Сергеем и говорим автору статьи Владимиру Безмалому.

Так, вроде, и Владимир говорит то же самое smile:)

08.07.2015 21:37:19

Что-то не заметил smile:-)

09.07.2015 10:28:42

Просто ты не делаешь поправку на жанр, понимая в сказке всё буквально. Хотя «сказка ложь, да в ней намёк…» smile:).

Что касается,

Цитата
автору первоначальной статьи, не стоило говорить о документах - получилась некорректное образное сравнение.
Точнее, оно могло бы быть корректным, если бы речь шла о исходном коде программ, т.е. текстовом документе.


Так программа — это и есть документ в общем случае.

09.07.2015 11:41:11

Я думаю, что нужно переходить к другим темами, по поводу этой сказки я уже лично все высказал, и иду по второму кругу.
1. У нас все же не журнал "Веселые картинка", а ИТ-издание, для ИТ-профессионалов. И нужны не разнопонимаемые намеки, а конкретные рекомендации
2. Я думаю, что в рассказе совершен целый ряд методических ошибок. "эталонное ПО" - лишь одна из них, и не главная
3. Главная - этот как раз путаница с документами и ПО. ПО - это не документ (в общем случае).
Рассказ только все запутывает. Автор путает проблему использования документа в суде для доказательства и вопросы непрерывности бизнеса (поддержка оперативной работы).

Суть рассказа сводится к банальному совету, в котором и обсуждать нечего: нужно делать резервные копии дистрибутивов. Это банальный, очевидный совет. Для этого не нужно придумывать сказок, можно обойтись одной фразой.
И это банальная операция.

А вот резервное копирование установленного и работающего ПО - это уже довольно сложная задача. Но о ней ничего не говорится

В общем, я уже все сказал. Перехожу к другим делам.

08.07.2015 16:06:06

Я уже не говорю о том, что рассказанная "сказка" вообще никак не связано с советом относительно резервного копирования дистрибутивов.
Рассказанная история - это как раз пример работы с ДОКУМЕНТАМИ, которые нужны для решения юридических споров.

Резервное же копирование ПО не имеет отношения к судебным разбирательствам (для нужно хранить чеки о легальном приобретиии ПО). Резервное копирование - это вопросы надежности и доступности.

Это, кстати, очень типичная ошибка наших "безопасников", которые путают в одну кучку вопросы собственно безопасности, надежности и соответствия нормативным требованиям. Все эти вопрос разные, хотя, конечно, смежные.

08.07.2015 16:15:05

Наверно, автор статьи имел в виду не "эталонное ПО", а архив "эталонных копий ПО".
То есть подразумевая, что дистрибутивы, которые лежат где-нибудь на сервере могут потеряться или быть поражены вирусом.
Наверно в таком виде этот термин имеет смысл...

08.07.2015 18:54:11

Это какое-то запутанное название - "эталонная копия"
Вот смотрите: у меня есть "настоящий" диск с Windows Vista от Microsoft. Для надежности я сделал с него копию на другой DVD.
Говоря языком документоведения, у меня есть подлинник документа и его копия.
В данном случае документом является именно диск с его содержимым. Сам диск сделан так, что по нему видно, что это лицензионное ПО. Копия на моем DVD - это именно копия, а не экземпляр подлинника.

Но дело даже не в этом: зачем нужно без нужды придумывать новые замысловатые названия?
Посмотрите пост - там приведено "гостированое" толкование "эталонного ПО". Зачем нужно делать путанницу, используя один термин для разных понятий?

Но главное - посмотрите мой комментарий выше - в рассказе вообще допущена методическая ошибка, когда вопрос обеспечения юридической значимости документов путают с вопросом надежного хранения документов.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии