Как стать автором
Обновить

Комментарии 6

Отличная статья! Очень понятно описаны принцип и концепция оценочных уровней доверия. Хотелось бы узнать Ваше мнение по поводу того, как быть кредитным финансовым организациям, у которых короткий релизный цикл. Очевидно, что сертифицировать каждый релиз по ОУД4 они не могут.
Алена, добрый день.
Спасибо за комментарий!

Как строить процесс, в том числе что бы автоматизировать подтверждение на соответствие разным стандартам планировал огласить в следующих статьях.
Если кратко, то для команд с выстроенным DevOps процессом необходим переход в формат DevSecOps. Все требования стандартов по сути подтверждаются различными Application Security практиками и корректно отстроенным процессом. Он встраивается в цикл самой разработки и позволяет вам без «гэпов» проводить необходимые чеки. Далее, результаты этих проверок выгружаются в необходимый формат отчетности для регулятора, а вы управляете им в режиме реального времени. Если хотите узнать подробнее, напишите мне на почту (aantonov@swordfishsecurity.com), сделаем Zoom где смогу рассказать более детально.
Спасибо, полезная статья, дает базовое понимание.
Два вопроса:
— Когда планируется следующая статья?
— Правильно ли я понимаю, что требование ОУД4 не дает возможности провести анализ по ОУД только части приложения?
Например, как могло бы сертифицироваться ПО с (микро)сервисной архитектура, где часть инстансов находится в DMZ, а часть внутри инфраструктуры финансововой организации
Добрый день!
Ответ в черновиках остался ))

Следующая статья выйдет уже скоро, активно работаю над ней.
ОУД направлен все таки на комплексную оценку приложений и процессов. В случае с микросервисами часть из них момжет попать под область сертификации, а часть можеть быть все ее рамок.

С момента публикации этой статьи кое-что изменилось. Банк России в новом Положении № 757-П от 20.04.2021 (замена Положению № 684-П для некредитных финансовых организаций) и в проекте изменений в Положение № 683-П (для кредитных организаций) явно указывает, что подшефные ЦБ организации должны соответствовать ОУД. А это значит, что со следующего года в организациях, ответственных за безопасность продукта, должны присутствовать оба пакета документов. Любимая всеми опция сертификации приложения в системе ФСТЭК осталась, но уже не по НДВ, а в соответствии с Приказом ФСТЭК № 76 от 02.06.2020 и уровнями доверия, как их понимает этот регулятор (не имеет ничего общего с семейством 15408, по которому предлагается проводить оценку соответствия). Добавлены явно опции самостоятельной оценки соответствия, что является дополнительным аргументом в пользу построения у себя DevSecOps. Точные сроки достижения соответствия ОУД разнятся для организаций разных типов, но вы наверняка знаете свой дедлайн, а если нет - самое время исследовать этот вопрос. Помним - процесс качественной и повторяемой реализации ОУД не только дорогостоящ, но и требователен ко времени.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий