Комментарии 12
6УД - это как режим "Хочу насладиться историей" в играх, normal начинается с 4 УД, дальше ещё хардкорней
Но другим заказчикам такое решение было не нужно, и в итоге появились две версии платформы
Что мешает сделать отдельный профиль настроек вроде FIPS mode?
И как работает emergency patching для сертифицированного ПО? Выпускаете 2.32.1 в день обнаружения уязвимости или клиенты полгода ждут сертификации 2.33 с исправлением?
Тогда нас поджимали сроки по сдаче некоторых проектов и в тот момент было проще и быстрее выпустить 2 версии. В одном из следующих релизов мы сделали это опцией настройки.
Процесс emergency patching начинаем, как только узнаём об уязвимости, требующей исправления. А после исправления сроки уже зависят от проверяющей лаборатории.
Со вводом этого сертификата нить вашей судьбы обрывается. Загрузите сохранённую игру дабы восстановить течение судьбы, или живите дальше в проклятом мире, который сами и создали
А как же внедрение методик Разработки Безопасного Програмного Обеспечения (РБПО)? Говорят, что внедрение РБПО, сильно упрощает процедуру сертификации.
Мы как раз сейчас движемся в этом направлении. Версии 3.х будем так сертифицировать.
Как вам удалось сертифицировать ПО без внедрения БРПО?
Выдержка из Положения по сертификации ФСТЭК России № 55.
п. 47. Сертификационные испытания включают: "...проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации.."
"При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания."
А вы зря удивляетесь. Требования по сертификации все время дорабатывают. Так что помимо всего прочего готовьтесь к каждому новому релизу что-то еще дополнительное проверять. про РБПО - как раз именно такая история.
Роберт Дениро прекрасен в этой роли! Вот честное слово! Круче он только в фильме "Звездная пыль"
Кто знаком с 757-П в нем сказано "Некредитные финансовые организации, не реализующие усиленный и стандартный уровни защиты информации, должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений." на какие законы необходимо опираться, чтобы самостоятельно это определить?
Сертифицируй ЭТО: как получить сертификат ФСТЭК на новейшую версию ПО