В Secret Net 7 исправлена критическая уязвимость - Форум по вопросам информационной безопасности

> Я о том, что не законно вводить людей в заблуждение с целью вымогательства. Уже совсем иная статья.

Не фантазируйте.

1. "Инструкции на сайте" не являются правоустанавливающими документами.
2. На объекты интеллектуальной собственности не распространяются понятия сферы защиты прав потребителей, включая "введение в заблуждение"
3. Вымогательство, по определению (статья 163 УК РФ) - требование совершить действия имущественного характера под угрозой распространения сведений, которые могут причинить вред потерпевшему или его близким.

Код Безопасности потребовал у вас купить обновление под угрозой что-то о вас рассказать? Как страшно жить! :)

Я ж на УК не ссылался, зачем утрировать? Окей, Код у нас белый и пушистый, как и все разработчики. С радостью примем правила игры и нацепим на себя значок 'лох' на ближайшее будущее. Приемлимо?

*в сторону* допустим, я сделал и продаю средство защиты, гарантирующие устранение угроз безопасности очень высокого уровня (ибо ГТ). И тут выясняется, что моё средство само по себе - угроза безопасности. Виноват ли я? Отчасти. Виноват ли конечный эксплуатант? Ни в какой мере. Должен ли он за это нести убытки? Нет. Так как же назвать мои действия о предложении обновлений эксплуатанту за деньги? Вымогательство, мошенничество - сами подберите нужное слово, коллеги...

"К людям надо помягше, а смотреть надо поширше" Ситуацию принимаем "как есть". Денег все это стоит не больших. Кому надо, тот все подправит и улучшит. Вчера пообщались с тех.поддержкой (платной) Кода - все работают, отвечают.

> Я ж на УК не ссылался, зачем утрировать?

Камрад, слова русского языка имеют определенные значения, и у слова "вымогательство", согласно толковым словарям русского языка, таких значений ровно одно - "получение чего-либо путем шантажа, угроз". Вот что вы написали, так вас и поняли, телепатиям, к сожалению, не обучены.

> С радостью примем правила игры и нацепим на себя значок 'лох' на ближайшее будущее.

У меня для вас плохие новости: правила игры установлены десятилетия назад, и мы обязаны им следовать, независимо от нашего с вами мнения о них. Хотите изменить эти правила - welcome. Я например, ради этого забесплатно участвую в работе двух с половиной технических комитетов Росстандарта, Центральный аппарат ФСТЭК ищет грамотных энтузиастов, готовых менять мир - разумеется, за зарплату государственного служащего среднего ранга, до есть золотых гор не обещают.

to malotavr
Это вас, товарищ, мой опус про "активные угрозы атак" в другой ветке форума, заставил напомнить про правила русского языка? :)
Значений слов в нашем языке много. По тому же Ушакову: "вымогательство, ср. (книжн.). действие или образ действий, рассчитанные на получение чего-н. путем угроз, насилия, принуждения." Принуждение, конечно, неявное, но есть. Поскольку иначе обновление не получить, а СЗИ уже установлено + АС с ним аттестована. Логика, imho, абсолютно явная...
Ладно, не хочу препираться на пустом месте. У каждого свое мнение на сей и любой другой счет - один черт форум ничего в данной ситуации решить не может. Вы правы - кто хочет что-то изменить, меняет. Тоже стараюсь в меру сил. Но в сей ситуации мне, как говорится, за державу обидно (с)

to kav
Небольших денег стоит, если 1-2 СВТ. А если их штук 50 и на каждое свой собственный дистрибутив (бывает и такое)? + все это в муниципальном учреждении с утвержденным заранее бюджетом?
Тут еще штука в чем. Сидит себе секретчик-в-возрасте или администратор-бухгалтер на объекте, никого не трогает, кое-как клавиши нажимает при вводе пароля. Приходит к нему ФСТЭК (или он читает инф.сообщения, что редкость, но бывает) и говорит "Обновляйся, зараза! Ибо уязвимость!" Эксплуатант нихрена не понимает, за разъяснениями бежит в орган-по-аттестации. Орган ему: "Да, надо обновиться. Да, аттестация не требуется. Но, проблема в том, что надо заплатить разработчику за новый дистрибутив. Сертификат? Сертификат тот же. Программа? Программа не поменяется. Зачем платить? Ну, так надо, мы по-другому вам ничем помочь не сможем". Эксплуатант к себе в бухгалтерию - а та ему: "Денег нет, но вы держитесь. Ибо бюджета нет". И затаит эксплуатант на аттестаторов обиду редкую за сии деньги небольшие. Потому что ему без разницы, кто там разработчик, кто настройщик, а кто аттестует. Он этого разработчика никогда и в глаза-то не видел, он по всем вопросам безопасности с аттестаторами общается, их считает "вымогателями". И потеряет тогда аттестатор такого заказчика в итоге. А таких заказчиков не 1 или 2, а пара-тройка десятков.
Или еще хуже - обратится такой эксплуатант к "черным" аттестаторам, которые ему на халяву поставят новую сборку с одной лицензией, уже стоящей на 100500 объектах. И формуляр на принтере отпечатают или вообще заморачиваться не станут. И опять "правильный" аттестатор без вины виноватый в глазах эксплуатанта окажется...
Короче, знаю, видел даже (с)

Здравствуйте, друзья! 3 декабря заканчивается сертификат на SN6. Уже приобретен SN7. Очередная аттестация в первом квартале 2017 года. Можно ли как то дотянуть до аттестации в 2017 году не проводя переаттестацию из-за смены СЗИ с SN6 на SN7?

Raver | 67181
Почитайте информационное сообщение ФСТЭК про уязвимость в SN и все вопросы отпадут.

"Все вопросы отпадут"

Не отпадут. На SN 6 проявлять сертификат не будут.
Смена СЗИ (с 6 на 7)= переатестация.

Тогда почему, если я покупаю техническую поддержку у кода безопасности на 1 год, мне обновляют мой 6 на SN 7 и согласно информационного сообщения ФСТЭК никакой переаттестации не нужно( это будет являться обновлением).

Подразумевается, что без переаттестации/периодического контроля разрешается обновление средства в рамках одного сертификата соответствия (у SN6 и SN7 они, ессно, разные)