Ещё раз о сертификации: по следам комментариев

Автор: Алексей Федорчук

Предыдущая заметка, посвящённая вопросам сертификации программного обеспечения вообще, и свободного ПО в частности, вызвала такое число комментариев, что я решил ответить на них гуртом — в форме ещё одной заметки. Каковая, будучи дополненной также моими комментариями комментариев, и предлагается вниманию читателей.

Начну с мысли StraNNicK’а, обрисовывающей ситуацию в наиболее общем виде:

Прости, Алексей, но ты в некотором роде ерунду написал неправ.

Здесь и далее курсивом даны мои политкорректные замены авторских идиоматических выражений — А.Ф.

Что же, на это могу ответить только одно: если окажется, что я ерунду написал был неправ, то сам же первым этому и порадуюсь — не столько за себя, сколько за своих товарищей — профессиональных системных администраторов. Лично меня, как свободного художника, вопросы сертификации затрагивают лишь косвенно — не в большей мере, чем любого гражданина нашего государства. Хотя и ничуть не в меньшей — к этому вопросу я ещё вернусь.

Надо сказать, что и автор комментария вполне отдаёт себе в этом отчёт, далее, несколько противореча себе, написав:

Алексей, … ты просто не в теме того нехорошего ажиотажа, который происходит вокруг этих самых ПД.

Признавая тем самым, что некоторое негативное влияние закона на тех, кому по долгу службы придётся заниматься его выполнением, всё-таки имеет место быть

Со своей стороны, замечу: да, до недавнего времени я был не в теме — спасибо недавнему семинару, который привлёк к ней моё внимание. Однако за свою жизнь я был свидетелем немалого числа… эээ… негативного ажиотажа вокруг похожих тем, что вполне могу представить себе его масштабы по аналогии.

Кстати, о масштабах — следующий момент, прослеживающийся в нескольких комментах, но впервые озвученный MadDog’ом:

Лично я в сертификации не вижу ничего такого страшного. Да, напряжённо, да затратно, но вполне осуществимо для любого ИТ-отдела.

Поскольку это высказано человеком, которому пришлось заниматься данным вопросом непосредственно и практически, остаётся только согласиться. С одной оговоркой: приводимые в этом и последующих комментариях примеры относительно безболезненной сертификации относятся исключительно к различным вариантам Windows. К ситуации вокруг сертифицированных дистрибутивов Linux я ещё вернусь.

А пока рассмотрим цену вопроса применительно к Windows. И тут мы видим два противоречивых мнения. С одной стороны, по утверждению Андрея Суханова,

Сертифицированная Windows XP (любой сервис-пак) стоит 1350 рублей… Лицензия на ОС покупается отдельно.

В отношении цен на Windows любого рода я действительно не в теме. Но беглое google’ние ориентировочно показало, что стоимость Windows XP Professional Edition в Москве составляет немного менее пяти с половиной тысячи рублей. Если взять одно из первых предложений в ответе на поисковый запрос — 5450 рублей, — и приплюсовать стоимость сертификации, получаем 6800 рублей, в которых сертификационная составляющая оказывается около 20%. Что несколько меньше озвученных мной в прошлой заметке 20%, но при массовых закупках тоже не мало.

С другой стороны, Zmey по поводу цен пишет, что

разница в цене сертифицированной/несертифицированной венды никак не 30% — сертифицированная ВинХП стоит около 12000 р.

У меня нет оснований сомневаться в достоверности цифр, приведённых авторами обоих комментариев. Более того, рискну предположить, что обе они (а возможно, и серия промежуточных градаций) имеют место быть на практике. Ведь ни Microsoft, ни ФСТЭК сами непосредственно продажей Windows не занимаются — это сфера деятельности их партнёров, ценовая политика которых может быть различной:

  • одни, в расчёте на грядущий ажиотажный спрос, планируют нарубить на этом капусты;
  • иные же, в целях укрепления своих рыночных позиций, готовы пойти на существенное снижение цен, распилив бабло за счёт массовости.

Не следует забывать и о всякого рода специальных условиях при закупках софта в крупных и особо крупных размерах, каковые могут выражаться как в скидках, так и в накидках… Думаю, для моих сограждан тут не будет ничего удивительного.

Однако Бог с ним, с Windows. А вот в отношении цен на сертифицированный Linux можно сказать абсолютно точно — скажем, на примере Mandriva. Согласно прайс-листу Линуксцентра, распространяемая ими обычная коробочная версия Mandriva 2009.1 Spring PowerPack (DVD-Box) (тех.поддержка 12 месяцев) Mandriva 2009.1 Spring PowerPack (DVD-Box), стоит от 1300 до 1900 рублей, в зависимости от срока технической поддержки (6 и 12 месяцев, соответственно).

Сертифицированный же ФСТЭК дистрибутив Mandriva 2008 Spring Powerpack обойдётся покупателю в 2900 рублей — следовательно, процентная доля сертифицированности составит от 35 до 55%. При этом пользователь получает версию годичной давности — то есть, вопреки одному из наших замечательных сатириков, и по пять, и вчера.

Разумеется, возросшие затраты на IT-сферу компаний и организаций, имеющих дело с персональными данными, будет включена в стоимость производимых ими продуктов и оказываемых услуг — вы видели когда-нибудь продавцов чего бы то ни было, поступающих иначе? Вот и я с такими не встречался. А поскольку, как говорилось в предыдущей заметке, так или иначе с персональными данными имеют дело почти все компании и организации, эффект будет подобным повышению цен на бензин и электроэнергию. Может быть, интегрально не столь и значительный, но на фоне прочих аналогичных эффектов внесёт свою лепту в изменение благосостояния советского российского человека.

Теперь давайте посмотрим — а раки при этом, пусть и маленькие, и по пять, и вчера, но место-то быть имеют? То есть — а получим ли мы все, как граждане, какой-нибудь профит? По мнению StraNNicK’а, да:

Начнём с того, что необходимость в таком законе давно назрела. Посмотри на диски с БД ГАИ и т.п., которые свободно продаются. Теперь будет возможность взять за место, где спина теряет свою благородное имя, не “Это наверное Вася, который два года назад работал, а может и не он”, а непосредственно руководителя и начальника IT-отдела.

Тут есть два момента. Во-первых, в ряде комментариев высказывались сомнения в том, что использование сертифицированных ОС снизит риск несанкционированного доступа к персональным данным. И сомнения вполне обоснованные по многим причинам. В первую очередь потому, что конфиденциальность этих самых ПД зависит не только (а может быть и не столько) от операционки, но и от применяемых под ней приложений, часто «самописных», сертифицировать или заменить которые далеко не всегда возможно. То есть, как отмечает Zmey:

Реально на практике выполнить все требования 152 ФЗ … невозможно, что признают и сами представители соответствующих ведомств. Но признают приватно, в кулуарах, так сказать. А официальная позиция — будем проверять и наказывать.

И в результате крупные компании и организации просто переложат «наказательные» штрафы на потребителей их товаров и услуг — это вдогонку к цене вопроса. А для мелких предприятий, не имеющих должных финансовых резервов, возрастёт риск полной ликвидации. Что для нас с вами отольётся сужением выбора.

А во-вторых, меня терзают смутные подозрения, что в случае утечки персональных данных за мягкое место будут брать именно руководителя предприятия: практика, идущая ещё с советских времён, показывает, что эта санкция применяется только в тех случаях, что «это мягкое место у того, у кого надо мягкое место«. А вот что стрелочником при разборке окажется IT’ник — то есть, в конечном счёте, наш с вами коллега, — очень даже может быть.

Иными словами, как признаёт и сам StraNNicK,

этот закон здорово добавит осложнений хорошим парням (которые и так всё держали в сухом прохладном месте и слали исключительно по защищённым каналам).

А вот что «плохих парней» массово будут брать за «органы, отвечающие за продолжение рода» — очень сомневаюсь.

Столь же сомнительным представляется мне утверждение, что сертификация будет способствовать распространению свободного софта, высказанное опять-таки StraNNicK’ом:

Учитывая разницу в цене между сертифицированным Альтом и не менее сертифицированной WinXP (на которую ОБЯЗАТЕЛЬНО нужно ставить сертифицированный антивирь) — у Альтов весьма солидные шансы на успех. Profit! Линукс захватывает мир.

Как раз наоборот: в прошлой заметке я предположил, что это приведёт к сокращению сферы применения тех дистрибутивов и операционок, которые не сертифицированы и никогда сертифицированы не будут — вне зависимости от их технических достоинств. И опять слово StraNNicK’у:

представить дырявую OpenBSD, настроенную пионером Васей, я могу очень легко.

А вот я — не очень легко. Во-первых, OpenBSD по умолчанию устанавливается так, что сделать её дырявой можно, только затратив на то специальные усилия. А во-вторых, пионеру Васе, если он обладает столь шаловливыми ручонками, что способен продырявить умолчальную OpenBSD, окажется по силам сделать это при наличии любых сертификатов и любых систем. Особенно если он жертва акселерации, и всё остальное ему по месту произврастания ног.

Как известно, различие между пессимистом и оптимистом состоит и в том, что если первый полагает, что хуже быть не может, то второй точно знает, что ухудшить ситуацию можно всегда_ Так что на этой оптимистической ноте я пока и закончу. В расчёте на то, что один из участников обсуждения — Zmey, изложит свои соображения по данной теме. Основываясь на собственном практическом опыте. И кстати — к сведению все остальных участников и читателей: для изложения любого обоснованного и не чрезмерно эмоционального мнения по этому вопросу место на страницах Citkit‘а найдётся. Хотя и эмоции в умеренных дозах не послужат препятствием к размещению.

3 комментария к “Ещё раз о сертификации: по следам комментариев

  1. Немножко проясню свою позицию о ФЗ.
    Хорошие парни и раньше делали всё правильно, но, зачастую, через активное противодействие пользователей, а то и начальства.
    Теперь есть возможность переложить головную боль по приведению пользователей во вменяемое состояние на административный ресурс. Пресловутая сертификация — ЕМНИП, только часть комплекса мер по защите ПД.

    Выбор платформы останется за сисадмином и будет, как и обычно, зависеть не от предпочтений в области OSS или проприетарщина, а от наличия необходимого ПО. У линукса шанс есть, и большой. Но я сильно сомневаюсь, что он будет реализован, хотя бы по той простой причине, что желающих писать ПО для контор на базе линукса исчезающе мало. А жаль.

  2. StraNNick, хорошие парни и раньше максимально использовали админресурс руководства для укрощения пользователей. Конечно, нужны достаточно доверительные отношения с руководством, но, такая ИМХА, что без таковых вообще нормальную IT структуру не создать. Так что я вот вижу пока много геморроя и совсем чуть-чуть плюсов. Несопоставимо мало. Но об этом таки в статье, к написанию которой ув. здешний лесник меня так ловко кхм… «обязал». :)

  3. Я немножко про другое. Я просто год пинал руководителей более, чем одной конторы на предмет — «чо делать будем по поводу ФЗ-152?». Потому как на глаза он мне попался довольно давно. Все говорили «Да-да-да, надо что-то делать. Когда-нибудь. Может быть. Не до него сейчас». В результате — имеем то, что имеем.

    А что геморрой будет — это в любом случае, даже если закон, подзаконные акты и прочая, и прочая были бы в идеальном порядке и соответствии. Я просто навскидку вижу неебическое количество чисто организационных сложностей.

    Самая очевидная — каждый, кого занесли в БПД должен дать письменное согласие на хранение этих данных. И вот тут наступает большая, жирная ЖОПА.

Обсуждение закрыто.