At 09.59 06/07/2001 +0200, you wrote:
On Thu, Jul 05, 2001 at 10:30:40PM +0200, Maurizio Lemmo - Tannoiser wrote:
>> > Il fornitore del sistema di protocollo informatico dovr? esplicitamente
>> > dichiarare soddisfatti i requisiti minimi di sicurezza anche per quanto
>> > attiene alla configurazione del sistema operativo per la specifica
>> > applicazione.
>> Interessante davvero.
>> Quello che credo, e` che le aziende produttrici di una distribuzione
>> linux certificheranno la loro distribuzione.
> Mah, considerando quanto costano le pratiche per la certificazione ITSEC
> posso elevare almeno qualche dubbio? Cioe', forse SuSe o RH potrebbero
> anche sponsorizzare la cosa, ma oltre?
C'è da dire anche che i criteri ITSEC in America sono stati superati dai
Common Criteria, per cui non è ancora sicuro che vengano recepiti dal
legislatore europeo.
Per il resto...come sono stati in grado di comprarsi la POSIX, così sia RH
che SuSE potrebbero muoversi per ottenere quel tipo di certificazione :-)))
> Resta comunque che la definizione di SO non credo si possa far
> coincidere con quella di distribution. Voglio dire, se si vuol
> certificare Debian si devono certificare tutti e 4000 i pacchetti che
> comprende? Tutte le librerie? Solo il kernel? E il compilatore C?
>
> Morale, al solito, sara' un gran casino e nessuno ce ne capira' un
> cazzo.
La legge infatti si sta muovendo in un'ottica di definizione di politiche
di sicurezza, tralasciando lo stretto legame col software che porterebbe i
problemi correttamente da te esposti.
Ci si sta muovendo, comunque, per cercare di capirci un cazzo :-))
Ciao
Pierluigi
|