Как стать автором
Обновить

Сертифицируй ЭТО: как получить сертификат ФСТЭК на новейшую версию ПО

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров8.4K
Всего голосов 19: ↑18 и ↓1+17
Комментарии12

Комментарии 12

6УД - это как режим "Хочу насладиться историей" в играх, normal начинается с 4 УД, дальше ещё хардкорней

Но другим заказчикам такое решение было не нужно, и в итоге появились две версии платформы

Что мешает сделать отдельный профиль настроек вроде FIPS mode?

И как работает emergency patching для сертифицированного ПО? Выпускаете 2.32.1 в день обнаружения уязвимости или клиенты полгода ждут сертификации 2.33 с исправлением?

Тогда нас поджимали сроки по сдаче некоторых проектов и в тот момент было проще и быстрее выпустить 2 версии. В одном из следующих релизов мы сделали это опцией настройки.

Процесс emergency patching начинаем, как только узнаём об уязвимости, требующей исправления. А после исправления сроки уже зависят от проверяющей лаборатории.

В случае критических уязвимостей поставлять клиентам исправленную версию вы можете как только она будет готова, не дожидаясь окончания проверок испытательной лабораторией.

Со вводом этого сертификата нить вашей судьбы обрывается. Загрузите сохранённую игру дабы восстановить течение судьбы, или живите дальше в проклятом мире, который сами и создали

А как же внедрение методик Разработки Безопасного Програмного Обеспечения (РБПО)? Говорят, что внедрение РБПО, сильно упрощает процедуру сертификации.

Мы как раз сейчас движемся в этом направлении. Версии 3.х будем так сертифицировать.

Как вам удалось сертифицировать ПО без внедрения БРПО?

Выдержка из Положения по сертификации ФСТЭК России № 55.
п. 47. Сертификационные испытания включают: "...проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации.."

"При проверке организации производства программных и программно-технических средств защиты информации проверяется внедрение заявителем процедур безопасной разработки программного обеспечения в соответствии с требованиями по безопасности информации, на соответствие которым проводятся сертификационные испытания."

А вы зря удивляетесь. Требования по сертификации все время дорабатывают. Так что помимо всего прочего готовьтесь к каждому новому релизу что-то еще дополнительное проверять. про РБПО - как раз именно такая история.

Так я привёл цитату в ред. Приказа ФСТЭК России N121 от 05.08.2021, а сегодня 2023 год.

Роберт Дениро прекрасен в этой роли! Вот честное слово! Круче он только в фильме "Звездная пыль"

Кто знаком с 757-П в нем сказано "Некредитные финансовые организации, не реализующие усиленный и стандартный уровни защиты информации, должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений." на какие законы необходимо опираться, чтобы самостоятельно это определить?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий