Zvava Sep 18 2023 at 11:58

Сертифицируй ЭТО: как получить сертификат ФСТЭК на новейшую версию ПО

Easy

6 min

8.3K

Visiology corporate blogData visualization*Product Management*

Tutorial

+17

Comments 12

mimicria Sep 18 2023 at 13:46

6УД - это как режим "Хочу насладиться историей" в играх, normal начинается с 4 УД, дальше ещё хардкорней

navion Sep 18 2023 at 16:24

Но другим заказчикам такое решение было не нужно, и в итоге появились две версии платформы

Что мешает сделать отдельный профиль настроек вроде FIPS mode?

И как работает emergency patching для сертифицированного ПО? Выпускаете 2.32.1 в день обнаружения уязвимости или клиенты полгода ждут сертификации 2.33 с исправлением?

Zvava Sep 19 2023 at 18:54

Тогда нас поджимали сроки по сдаче некоторых проектов и в тот момент было проще и быстрее выпустить 2 версии. В одном из следующих релизов мы сделали это опцией настройки.

Процесс emergency patching начинаем, как только узнаём об уязвимости, требующей исправления. А после исправления сроки уже зависят от проверяющей лаборатории.

Noospheratu Apr 23 at 12:02

В случае критических уязвимостей поставлять клиентам исправленную версию вы можете как только она будет готова, не дожидаясь окончания проверок испытательной лабораторией.

dimaaannn Sep 18 2023 at 23:20

Со вводом этого сертификата нить вашей судьбы обрывается. Загрузите сохранённую игру дабы восстановить течение судьбы, или живите дальше в проклятом мире, который сами и создали

caduser Sep 19 2023 at 15:24

А как же внедрение методик Разработки Безопасного Програмного Обеспечения (РБПО)? Говорят, что внедрение РБПО, сильно упрощает процедуру сертификации.

Zvava Sep 19 2023 at 18:46

Мы как раз сейчас движемся в этом направлении. Версии 3.х будем так сертифицировать.

caduser Sep 19 2023 at 21:55

Как вам удалось сертифицировать ПО без внедрения БРПО?

Выдержка из Положения по сертификации ФСТЭК России № 55.
п. 47. Сертификационные испытания включают: "...проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации.."

"При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания."

PetrUm Sep 20 2023 at 08:44

А вы зря удивляетесь. Требования по сертификации все время дорабатывают. Так что помимо всего прочего готовьтесь к каждому новому релизу что-то еще дополнительное проверять. про РБПО - как раз именно такая история.

caduser Sep 20 2023 at 08:59

Так я привёл цитату в ред. Приказа ФСТЭК России N121 от 05.08.2021, а сегодня 2023 год.

Mudrist Sep 20 2023 at 09:27

Роберт Дениро прекрасен в этой роли! Вот честное слово! Круче он только в фильме "Звездная пыль"

mamontovss Feb 15 at 07:44

Кто знаком с 757-П в нем сказано "Некредитные финансовые организации, не реализующие усиленный и стандартный уровни защиты информации, должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений." на какие законы необходимо опираться, чтобы самостоятельно это определить?