Как мы писали ГОСТ по SSDL, и что из этого получилось

Автор Andrei Golubev
Как мы писали ГОСТ по SSDL, и что из этого получилось

Добрый день.

Уважаемые коллеги. Меня зовут. Барабанов Александр я представляю компанию.

Эшелон в основном я занимаюсь сертификации средств защиты информации в свободное от основной работы время я преподаю в.

МГТУ имени. Баумана кафедра информационная безопасность и соответственно. Сегодня я хотел сказать атомпроект в котором не удалось поучаствовать и которые связаны с разработкой национального стандарта. Российской Федерации в области создания безопасного программного обеспечения из вас кто следит за тенденциями в. Отечественной системе сертификации могут за. Что за последние 2-3 года. Отечественная система сертификации совершила достаточно резкий поворот в сторону практической безопасности в частности сейчас такая активность как анализ уязвимости является обязательным при проведении сертификационных из. Ну и опять же следует отметить, что требования которые предъявляются к испытательным лабораториям они в целом соответствуют международным стандартам которые используют зарубежные испытательной лаборатории в зарубежных системах сертификации опять же создана и поддерживается в актуальном состоянии так база данных уязвимостей программного обеспечения. Кроме этого предъявляются достаточно высокие требования к разработчикам средств защиты информации о связанных в том числе и с тем, что разработчик не только должен получить сертификат, но и активно этот сертификат поддерживать путем выпуска тех или иных обновлений, но в целом следует отметить, что они которых скажем так превентивных мер которые позволяли бы создавать программное обеспечение скажем так с минимальным количеством уязвимостей их нормативном уровне в системе. СИ не там на уровне национальных стандартов. Определенно не был понимая актуальность задача скажем так побуждение отечественных разработчиков к внедрению тех или иных активности связь разработка безопасного программного обеспечения регулятором системы сертификации была поставлена научно-исследовательская работа в результате которой появился национальный стандарт название которого вод представлены на экране защиты информации разработка безопасного программного обеспечения общие требования поскольку. Стандарт разрабатывался в первую очередь в интересах регулятора занимаюсь сертификации средств защиты информации то при разработке документа были учтены. Ну помимо особенности связанных с тем, что в документе до должны были быть на том или ином уровне от отражены лучше про которые ведут к созданию безопасного программного обеспечения документ должен быть совместим с так называемым стандартам общие критерии которые в настоящее время де-факто использоваться как. Базис для всей. Отечественной системы сертификации. Кроме этого документ должен был быть ориентирована на разработчиков средства защиты информации так и на оценщиков которые в перспективе в рамках тех или иных активности могли бы подтвердить, что организация внедрены и активно используются лучшие практики по разработке программного обеспечения соответственно на слайде в презентации представлены общие этапы выполнения проекта начала работы над этим документом было в апрель 1013 года значит было скажем так узко апробация этого документа в рамках выполнения научно-исследовательской работы из соответственных в период с мая по сентябрь 2014 2015 года соответственно были более широкие публичные обсуждения в рамках так называемого технического комитета 362 которые занимаются вопросами стандартизации в области защиты информации кратко отмечу что. Ну вот с. Апреля по июль 2016 сентябрь 2015 то есть на тот момент когда публичное обсуждение были закончены значит согласовано было там или 6 или 7 версия документа. Кроме этого на этапе публичного обсуждения было получено достаточно большое количество. Замечаний и предложений в том числе от ведущих разработчиков таких так лаборатория. Касперского позитив и так далее. Все эти замечания и предложения безусловно были учтены в окончательной версии документа текущий статус документа. Значит все скажем так в формальной процедуры пройдены в настоящее время документ находится на утверждение в стандарте то есть где-то в июне-июле ожидается приказ об утверждении этого документа основная часть этого документа национального стандарта состоит из так называемых. Нерпа разработки безопасного программного обеспечения опять же следует отметить, что здесь по большей степени никакого велосипеда не изобретал за основу то есть вот эти вот меры по разработке которые отражены. В текущей версии документа они были сформулированы в том числе с учетом различных стандартов и методологии которые в большом объёме к настоящему моменту времени разработаны как зарубежными то в том числе и отечественными организациями в частности — это вот стандарт. Банка России связан с разработкой безопасного программного обеспечения соответственно. Для более простого этого документа каждый из предложенных мер по разработки безопасного программного обеспечения она была сопоставлена с процессами жизненного которые установлены в международном стандарте 12207. Ну то есть — это некие стандарты который описывает те или иные процессы которые могут быть связаны с реализацией программного обеспечения опять же следует отметить, что не какую конкретную модель разработки программного обеспечения в. РФ разработана национальном стандарте не декларируется значит если мы говорим.

0 комментариев
0

Читайте также