[Comm] Сертифицированный дистрибутив

[Aleksey Novodvorsky]

11 мая 2009 г. 15:12 пользователь Михаил Шувалов <mike на shuvaloffs.org> написал:
> В Пнд, 11/05/2009 в 10:48 +0400, Хихин Руслан пишет:
>> Здравствуйте Михаил Шувалов
>>  > А вот интересно. Дистрибутив сертифицирован ФСТЭК. Это
>>  > хорошо. А вот как
>>  > его обновлять? Ладно там какие-то улучшения, а устранения
>>  > уязвимостей? С
>>  > этим как быть? Или для сертифицированных дистрибутивов идут
>>  > отдельные,
>>  > сертифицированные, обновления? Сомневаюсь...
>> Как я помню - любое обновление сертифицированного ПО требует, как
>> мимнммум, утверждение сертифицирующем органом. Если превышен
>> определённый процент, то требуется новая сертификация (за новые
>> деньги).  Так, что выгоднее не обновлять такие дистрибутивы.
>
> Ну а если нашлась критическая уезвимость в одном из компонентов
> сертифицированного дистрибутива? По идее вина в этом
> разработчика/сертификационного центра (ФСТЭК). Получается клиент должен
> выкладывать свои кровные за чужие ляпы? Бред какой-то (ничего
> личного :) )

Таковы правила этой игры, установленные нормативно-правовыми актами.
Можно с ними ознакомиться на сайте ФСТЭК.
На самом деле, сертификация обновлений не может быть совсем быстрой,
но реально выгодной производителям и сертифицирующим организациям она
станет лишь при массовом внедрении сертифицированных продуктов. Другое
дело, что их массовое внедрение -- нагрузка на потребителя.
Конечно, сертификация, при всей ее неоходимости в отдельных случаях, у
нас стала вариантом лицензирования ПО, просто с менее строгим
наказанием. Это плохо, хотя и позволяет мне как производителю иметь
свою копеечку. Мне важно лишь точно объяснить потребителю, нужен ему
сертификат или нет, чтобы он не тратил деньги без крайней
необходимости, чтобы не было заведомого обмана с моей стороны.
Я вижу сейчас только один способ избежать таких принудительных продаж
-- сертифицировать процесс производства системы и проверять его
уполномоченными сертифицирующими организациями. Но это заведет нас в
ловушку "национальной ОС".
Вообще говоря, любой контроль за информацией ведет к ужесточению
госрегулирования. И здесь уж или смириться с продажей на лотках баз
данных с информацией о нас самих, или со всеми последствиями
огосударствления разработки и распространения ПО. Я как гражданин
предпочел бы первое, но это мое, совсем не общее мнение.

В заключение хочу сказать, что проблема эта весьма сложная, на уровне
дискуссий либералов и государственников,  и я бы не стал усматривать
здесь злую волю на уровне системы. Конечно, на уровне исполнителей эта
злая воля всегда может быть.


Rgrds, Алексей