оценка соответствия
Разное
22 июня WhiteHat Security, известная на рынке Web-безопасности, анонсировала покупку технологии статического анализа кода у Infrared Security.
Разное
Тема оценки соответствия в блоге поднималась уже не раз. Но обсуждалась, в-основном, оценка соответствия в виде обязательной сертификации. Добровольная сертификация практически выпала из поля зрения. Хотя такая попытка уже неоднократно делалась в нашей отрасли. Но дальше слов как-то дело не шло. И вот новая попытка, запущенная Евгением Родыгиным совсем недавно —
Разное
Не успела компания Veracode опубликовать свой отчет о состоянии защищенности программного обеспечения, как аналогичный отчет опубликовал другой игрок данного сегмента рынка — компания Coverity. 10 мая она выпустила отчет «Software Integrity Risk Report«. Основная мысль этого отчета — полученный из третьих рук исходный код не проверяется
Тенденции
Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности. Итак некоторые из выводов сделанных Frost & Sullivan: число зафиксированных публично
Угрозы
Уж сколько раз твердили миру… что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет «
И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза «оценка соответствия в установленном порядке» замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.
Криптография
Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу — все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а […]
Законодательство
Президент Медведев подписал вчера указ о создании ЕДИНОГО органа по сертификации… исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в пресловутой 5-й статье ФЗ «О техническом регулировании». Т.е. либерализация постепенно проникает в различные сферы нашей жизни, исключая вопросы информационной безопасности
Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и «старые» документы ФСБ и ФСТЭК, и «новые» нормативные акты — ПП-781, ПП-330, ПП-424 и т.
Разное
Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации — прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом