Разное
Чужое ПО проверяют хуже своего
24
Не успела компания Veracode опубликовать свой отчет о состоянии защищенности программного обеспечения, как аналогичный отчет опубликовал другой игрок данного сегмента рынка — компания Coverity. 10 мая она выпустила отчет «Software Integrity Risk Report«. Основная мысль этого отчета — полученный из третьих рук исходный код не проверяется
Бизнес без опасности
Тенденции
Тенденции мира уязвимостей
623
Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности. Итак некоторые из выводов сделанных Frost & Sullivan: число зафиксированных публично
Бизнес без опасности
Угрозы
60% всего ПО не соответствует требованиям ИБ
1013
Уж сколько раз твердили миру… что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет «
Бизнес без опасности
Разное
И вновь об оценке соответствия
407
И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза «оценка соответствия в установленном порядке» замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.
Бизнес без опасности
Криптография
Размышления о корректности встраивания криптосредств
34336
Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу — все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а […]
Бизнес без опасности
Законодательство
Очередная порция изменений законодательства по ИБ толкает нас назад
76
Президент Медведев подписал вчера указ о создании ЕДИНОГО органа по сертификации… исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в пресловутой 5-й статье ФЗ «О техническом регулировании». Т.е. либерализация постепенно проникает в различные сферы нашей жизни, исключая вопросы информационной безопасности
Бизнес без опасности
Разное
Число требований по сертификации средств защиты возрастет
2222
Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и «старые» документы ФСБ и ФСТЭК, и «новые» нормативные акты — ПП-781, ПП-330, ПП-424 и т.
Бизнес без опасности
Разное
Об оценке соответствия средств защиты
51112
Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации — прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом
Бизнес без опасности
Законодательство
СоДИТ перевел ISO 15408:2009
215
Союз ИТ-директоров России перевел первую часть новой версии стандарта оценки ИТ с точки зрения информационной безопасности — ISO/IEC 15408:2009. Это всем известные «Общие критерии», которые приняты в качестве ГОСТа и в России, но в своей предыдущей, второй версии. Нынешняя же версия — самая последняя.
Бизнес без опасности
Разное
Cisco запускает сертифицированное производство
87
Очередное значимое для Cisco событие — запуск в России сертифицированного производства средств защиты на базе компании Kraftway. Несколько лет назад у нас уже был реализован такой проект и вот новый этап его развития. Учитывая возрастающую роль сертификации (все-таки изменения в ФЗ «О техрегулировани»
Бизнес без опасности