В завершение цикла статей о выборе сертифицированной операционной системы (Часть 1 и Часть 2) я подготовил для вас короткий чек-лист, который позволит любому желающему подобрать для себя качественную и безопасную ОС, для того, чтобы пройти этот нелегкий путь импортозамещения и обеспечить полноценную работу в ней на долгие годы вперед.
Правила работы с чек-листом очень просты - чем больше положительных ответов, тем более предпочтительной будет для вас операционная система.
№ | Вопрос | Ответ | Комментарий |
1. | ОС имеет сертификат соответствия требованиям безопасности? |
| Если ответ «Нет», то прочитать статью «Безопасность корпоративных операционных систем: на что обращать внимание при выборе несертифицированной ОС на российском рынке» (выйдет чуть позже, на месте этого текста появится ссылка) и использовать чек-лист для выбора несертифицированных ОС |
2. | Есть ли уникальные функциональные возможности (по сравнению с конкурентами), способствующие более защищенной работе в системе и (или) способствующие повышенному комфорту при использовании системы? | ||
3. | Минорные обновления ОС выходят не реже одного раза в 6 месяцев? | ||
4. | Минорные обновления ОС содержат информацию об устранении только новых уязвимостей (уязвимость, опубликованная в открытых источниках менее одного года назад)? | ||
4.1. | Старых уязвимостей менее 5% от числа устраненных в минорном обновлении? |
| Рассматривается, если ответ на вопрос № 4 отрицательный |
5. | Критичность устраняемых в минорном обновлении ОС уязвимостей соответствует следующему распределению: 25% критических уязвимостей (CVSS > 7.0) на 75% некритических уязвимостей (CVSS < 7.0) ± 10%? | ||
6. | Вендор публикует в открытых источниках информацию об устраненных уязвимостях в ОС пакетом минорных или мажорных обновлений? | ||
7. | Есть ли в открытых источниках информация о проводимых исследованиях безопасности ОС и их результатах (обнаружение ZeroDay-уязвимостей, ошибок функционирвоания)? | ||
7.1. | Есть ли у вендора сотрудники, исследующие безопасность ОС (AppSec)? |
| Рассматривается, если ответ на вопрос № 7 отрицательный |
7.2. | Штат исследователей (AppSec) больше 10 человек? |
| Рассматривается, если ответ на вопрос № 7 отрицательный |
7.3. | Какое количество ZeroDay-уязвимостей и ошибок функционирования было найдено за предыдущий год? |
| Рассматривается, если ответ на вопрос № 7 отрицательный. Правильного ответа на этот вопрос нет. Чем больше будет число, тем лучше |
8. | У вендора есть квалифицированная техническая поддержка, "реально" работающая 24/7/365? | ||
9. | Какой срок поддержки мажорной версии ОС (срок программных обновлений безопасности мажорной версии)? |
| Правильного ответа на этот вопрос нет. Чем больше будет число, тем лучше |
10. | Есть ли возможность бесшовной миграции с предыдущей мажорной версии ОС на следующую без потери пользовательских данных и функциональности программ? |
Всем большое спасибо за то, что дочитали до конца данную трилогию. Надеюсь, что информация приведенная в данных статьях поможет сотрудникам, выполняющим задачу по импортозамещению, подобрать для своей компании надежную, качественную и безопасную ОС!
