Как стать автором
Обновить

Комментарии 8

У меня идея для стартапа: продавать DIY комплекты для голографических наклеек. Вообще, наклеечки для взрослых дорогие. Я помню, в детстве, голографические наклейки о соответствии ФСТЕК, PCI-DSS, ФАПСИ и прочим, вкладывали в жвачки по 500 рублей (неденоминированных). А теперь, вон, какие дорогущие.

Кстати, тогда делали умнее — и продавали альбомы для вклейки наклеек. С сертификатами и лицензиями такие штуки поставляются?
Альбомы? Нет. Там игры повеселее.
Но за идею спасибо! Сейчас обрадую девушек, а то сегодня они с очередной проблемой грустят
Автор, не драматизируйте ситуацию.

В отношении патчей подход ФСТЭКа сейчас такой: сертифицируйте СЗИ вместе с порядком обновления средств защиты. Тогда патчи можно накатывать без инспекционного контроля (так говорил Виталий Сергеевич Лютиков на ТБ Форуме).
Если у разработчика внедрен стандарт безопасной разработки (secure SDLC) — то тогда для патчей так же зеленый свет.
Сертифицированное ПО с известными уязвимостями — это проблема, которую ФСТЭК активно пытается сейчас решать. Стоит написать им, и скорее всего получите ответ «ставьте пока что несертифицированный патч, с вендором мы перетрём всё сами».
По «сертифицируйте СЗИ вместе с порядком обновления средств защиты»
1. Это для будущих сертификаций. На рынке же в большинстве уже сертифицированные продукты. У нас до сих пор просят даже сертификации к древним продуктам — у которых истек срок. Что делать с ними?
2. Сказал и есть Письмо от соответствующего регулятора — две большие разницы. Скажем одно время во ФСТЭК говорили, что все методики, выпущенные до 28го приказа — отменены.
3. Кроме ФСТЭК есть ФСБ, МО, Гаспромсерт и менее известные. Что делать с их сертификациями?

По «ставьте пока что несертифицированный патч, с вендором мы перетрём всё сами»
1. мы вендор и таких запросов не получали. А об уязвимостях знаем. В том числе и от клиентов
2. если бы все было так просто. Должно быть разрешение на применение патча от регулятора. Официальное. Чтобы проверяющим показывать. А это письмо отменит ИК — который до фига денег стоит. Вы думаете, что в реальной жизни кто-то разрешит вендору выпустить обновление, за которое можно затребовать деньги?
3. Через стол от меня сидит девушка, которая с ФСТЭК работает. Можно пруф лично для нее, что такое официально где-то разрешено. Она не верит. Аналогично и по secure SDLC

Как вендор, имеющий кучку уже сертифицированных продуктов
Я понимаю вашу просьбу о пруфах, но их не будет. Для меня публично сказанное слово Лютикова — это пруф, но если бы я был на месте разработчика, этого, конечно, было бы мало. Можно попробовать написать емаил во ФСТЭК и дождаться официального ответа.
Мы туда и ездим и звоним постоянно. Как раз сейчас началась очередная сертификация.

Вообще ФСТЭК все время обещает приказ по обновлениям. Во всех презентациях прописывается. Ждем.

Возвращаясь к безопасной разработке. Большую часть Профилей составляют именно требования к процессу. Совершенно анекдотична с этой точки зрения ситуация в Профиле по ограничению доступа. Функциям самого ограничения доступа посвящен считай один абзац — все остальное процедуры. Было бы логично прописать в этих процедурах и обновления, но увы…
В общем ситуация с возможностью обновлений в текущих условиях выглядит так:
1. Программы и компоненты сертифицированных продуктов должны иметь контрольные суммы, зафиксированные в формуляре
2. сертифицированное ПО — это ПО, выпущенное от года назад и более. У нас запрашивают версии, к которым и программистов то уже нету — давно уволились
Соответственно:
1. выпуск новой версии потребует выпуска нового формуляра (затраты компании на это не учитываем, время на согласование и печать — потребуется). клиенту придется купить коробку с дистрибутивами и формуляром — распространять в электронном виде дистрибутивы нельзя, а обновления компонент запрещены. значит задержка на доставку коробки + затраты на покупку при каждой уязвимости
Просто накатить обновления нельзя — проверяющие должны иметь формуляр для сверки
2. код старый, поэтому скорее всего под видом патча уйдет новая версия ПО под старым номером — «а вы докажите, что можно по другому». Вы таки думаете, что вся система, тянущая из нас деньги на сертификацию, разрешит такую лазейку, позволяющую не платить за сертификацию и ИК?

таким образом слова начальника ФСТЭК — чистой воды фантазии, не реализуемые на практике — пока не отменят бумажные формуляры и не разрешат выкладку в инет обновлений компонентов. Сделать эти два дела и никакой борьбы с уязвимостями не потребуется
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Истории