Ответ был прост — мы используем подход V-RATE (Vendor Risk Assessment and Threat Evaluation), предложенный еще в конце 90-х — начале 2000-х Институтом Карнеги-Меллона. Идея метода проста — компенсировать отсутствие исходных кодов и доказательств процесса разработки анализом рисков для самого производителя. На выходе мы получаем профиль рисков, состоящий из нескольких областей, в каждой из которых могут быть предусмотрены те или иные меры по снижению неудовлетворительного уровня проанализированных рисков.
В рамках V-RATE профиль рисков делится на две части:
- Элементы рисков, присущих производителю
- Элементы рисков, связанные с вашими навыками управления рисками при работе с производителями.
Последний кусок очень важен и показывает не только потенциальные проблемы разработчика анализируемой системы, сколько ваши собственные проблемы. Например, в рамках данного раздела оценивается ваше собственное умение и квалификация по анализу продукции разработчика. Возьмем к примеру ФСТЭК и продукцию SAP. Может ли представитель испытательной лаборатории, а за ним и орган по сертификации, на должном уровне оценить продукт, число инсталляций которого в России измеряется всего несколько сотнями? А если учесть, что SAP — это продукт не коробочный, а дописываемый под нужды конкретного заказчика? И проблема не в самом продукте, а именно в умении его проанализировать специалистами сертификационных лабораторий. Но вернемся к V-RATE. Из каких элементов состоит профиль рисков разработчика (показана только часть):
- Элементы рисков, присущих производителю
- Видимость
- Открытость — насколько открыт и доступен процесс дизайна и разработки продукта ?
- Независимость испытательных лабораторий, оценивающих продукт (имеет значение, например, при использовании решений, сертифицированных по «Общим критериям»)
- Техническая компетенция
- История сертификаций продукции
- Свидетельство приверженности стандартам и требованиям регуляторов
- Разнообразие продуктов и услуг разработчика
- Наличие отдельной команды, отвечающей за безопасность и надежность
- Соответствие
- Реагирование на запросы со стороны пользователей в части безопасности и надежности
- Реагирование на запросы новых функций и улучшений
- Готовность к сотрудничеству со сторонними испытательными и сертификационными лабораториями
- Репутация
- Уровень менеджмента
- Финансовая стабильность
- Условия работы с поставщиками и контрагентами
- Элементы рисков, связанные с вашими навыками управления рисками при работе с производителями
- Ваша квалификация в области оценки качества продукта по различным показателям (безопасность, надежность и т.д.)
- Ваша квалификация в области оценки компетенции производителя (по идее испытатель должен быть квалифицированнее испытуемого)
- Ваше понимание существующих сертификаций и рейтингов производителя
- Ваша независимость
- Ваши навыки ведения переговоров
Пример раздела «Соответствие» профиля V-RATE:
- патчи выпускаютсямаксимально быстро после обнаружения ошибки или уязвимости
- пользователь может отключить ненужные функции, тем самым снизив риски от их использования
- встроенные механизмы восстановления, например, автоматическое резервирование конфигурационных данных и восстановление состояния соединений
- встроенные механизмы защиты, например, шифрование канала управление и защита паролей
- следование практике SDLC и обучение разработчиков производителя вопросам безопасности и защищенного программирования (Cisco SecCon, как пример такого мероприятия).
мерси хороший материал…
Спасибо