who_is_that_df9 дек 2025 в 07:00

Как получить лицензии ФСТЭК России и не получить травму: опыт Angie Software

Средний

14 мин

11K

IT-стандарты * IT-компанииИнформационная безопасность *

Туториал

+30

Комментарии 7

Shaman_RSHU 9 дек 2025 в 07:51

Для сертификации ПО нужно делать КАО, ДАО, САО.... надеюсь понимаете о чём я (прочитали документы из Воронежа:).

У Вас этим будет заниматься один профессионал? Даже для простого мобильного приложения одного специалиста будет недостаточно для проведения таких работ.

who_is_that_df 10 дек 2025 в 09:35

Все верно, целый утвержденный квест по исследованию продукта :)

В будущем будет отдельная статья, посвященная сертификации, мы в ней расскажем, с какими задачами довелось столкнуться при работе.

Но, чуть забегая вперед - в кейсах, связанных с исследованиями кода с целью выявления уязвимостей / недостатков, у нас помимо специалиста по ИБ участвуют коллеги из команд разработки и инфраструктуры, то есть процесс не замыкается на одном специалисте.

erlyvideo 9 дек 2025 в 08:09

получение организацией сертификата системы менеджмента качества по стандарту ISO 9001

в смысле, покупка этой бессмысленной бумажки за 30 тыс рублей?

who_is_that_df 10 дек 2025 в 09:39

Видим так - если некоторый артефакт, при условии его наличия, способен закрыть требование, обязательное к выполнению, то в нем есть смысл :)

А так в целом из того же 9001 можно много полезного узнать про СМК, хотя бы для понимания состояния «как можно было бы сделать».

vanxant 9 дек 2025 в 11:34

Тайная комната вроде как нужна не для разработки, а для работ по защите (пентестов и т.п.). У одного из клиентов ничего такого не разрабатывали, но были пдн высокого уровня. Пришлось делать тайную комнату для группы разбора инцидентов иб, нанять пару человек с правильными дипломами, и направить пару старых сотрудников на курсы в бауманку.

Shaman_RSHU 9 дек 2025 в 13:43

Тайная комната просто нужна для выполнения требований приказа по получению лицензии ФСТЭК. Там требуется несколько условий, как и было описано в статье: персонал, тайные комнаты. Даже специальное оборудование нужно (всякие спектрометры, антенны и т.п.). По факту мало что это будет использоваться на практике.

who_is_that_df 10 дек 2025 в 09:44

Все так, фактически в «тайной комнате» должны проводиться работы, в соответствии с которыми и выдавались лицензии. У нас набор лицензий как для разработки, так и для ТЗКИ, установлен на один АРМ.

Соответственно, если у организации есть лицензия ТЗКИ и пентест заявлен в качестве одного из видов деятельности, то на АРМе в комнате будут установлены нужные инструменты.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий