Alexey_Antonov Feb 18 2021 at 10:00

Оценочный уровень доверия (ОУД4) и ГОСТ Р ИСО/МЭК 15408-3-2013. Введение

15 min

27K

Swordfish Security corporate blogInformation Security*Development Management*DevOps*

Comments 6

AlenaAlexandrovna Feb 20 2021 at 22:20

Отличная статья! Очень понятно описаны принцип и концепция оценочных уровней доверия. Хотелось бы узнать Ваше мнение по поводу того, как быть кредитным финансовым организациям, у которых короткий релизный цикл. Очевидно, что сертифицировать каждый релиз по ОУД4 они не могут.

Alexey_Antonov Feb 20 2021 at 22:28

Алена, добрый день.
Спасибо за комментарий!

Как строить процесс, в том числе что бы автоматизировать подтверждение на соответствие разным стандартам планировал огласить в следующих статьях.
Если кратко, то для команд с выстроенным DevOps процессом необходим переход в формат DevSecOps. Все требования стандартов по сути подтверждаются различными Application Security практиками и корректно отстроенным процессом. Он встраивается в цикл самой разработки и позволяет вам без «гэпов» проводить необходимые чеки. Далее, результаты этих проверок выгружаются в необходимый формат отчетности для регулятора, а вы управляете им в режиме реального времени. Если хотите узнать подробнее, напишите мне на почту (aantonov@swordfishsecurity.com), сделаем Zoom где смогу рассказать более детально.

Neftedollar Mar 11 2021 at 18:02

Спасибо, полезная статья, дает базовое понимание.
Два вопроса:
— Когда планируется следующая статья?
— Правильно ли я понимаю, что требование ОУД4 не дает возможности провести анализ по ОУД только части приложения?
Например, как могло бы сертифицироваться ПО с (микро)сервисной архитектура, где часть инстансов находится в DMZ, а часть внутри инфраструктуры финансововой организации

Alexey_Antonov Apr 13 2021 at 17:21

Добрый день!
Ответ в черновиках остался ))

Следующая статья выйдет уже скоро, активно работаю над ней.
ОУД направлен все таки на комплексную оценку приложений и процессов. В случае с микросервисами часть из них момжет попать под область сертификации, а часть можеть быть все ее рамок.

Neftedollar Apr 28 2021 at 13:46

Alexey_Antonov ждем статью с нетерпением!)

Alexey_Antonov Jul 30 2021 at 12:31

С момента публикации этой статьи кое-что изменилось. Банк России в новом Положении № 757-П от 20.04.2021 (замена Положению № 684-П для некредитных финансовых организаций) и в проекте изменений в Положение № 683-П (для кредитных организаций) явно указывает, что подшефные ЦБ организации должны соответствовать ОУД. А это значит, что со следующего года в организациях, ответственных за безопасность продукта, должны присутствовать оба пакета документов. Любимая всеми опция сертификации приложения в системе ФСТЭК осталась, но уже не по НДВ, а в соответствии с Приказом ФСТЭК № 76 от 02.06.2020 и уровнями доверия, как их понимает этот регулятор (не имеет ничего общего с семейством 15408, по которому предлагается проводить оценку соответствия). Добавлены явно опции самостоятельной оценки соответствия, что является дополнительным аргументом в пользу построения у себя DevSecOps. Точные сроки достижения соответствия ОУД разнятся для организаций разных типов, но вы наверняка знаете свой дедлайн, а если нет - самое время исследовать этот вопрос. Помним - процесс качественной и повторяемой реализации ОУД не только дорогостоящ, но и требователен ко времени.