оценка соответствия
Разное
Не успела компания Veracode опубликовать свой отчет о состоянии защищенности программного обеспечения, как аналогичный отчет опубликовал другой игрок данного сегмента рынка — компания Coverity. 10 мая она выпустила отчет «Software Integrity Risk Report«. Основная мысль этого отчета — полученный из третьих рук исходный код не проверяется
Тенденции
Еще один отчет мне довелось посмотреть. Он описывает тенденции в области исследований уязвимостей от компании Frost & Sullivan за 2010 год. Очень познавательное чтиво, показывающее, куда стоит направить свой взор специалистам по информационной безопасности. Итак некоторые из выводов сделанных Frost & Sullivan: число зафиксированных публично
Угрозы
Уж сколько раз твердили миру… что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет «
И вновь вернусь к теме оценки соответствия. Уж очень часто эту оценку приравнивают к сертификации. На самом деле это не так. Фраза «оценка соответствия в установленном порядке» замечательно иллюстрируется данной картинкой, которую я сделал на основе анализа закона о техническом регулировании, т.к. именно он определяет, что такое оценка соответствия.
Криптография
Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу — все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а […]
Законодательство
Президент Медведев подписал вчера указ о создании ЕДИНОГО органа по сертификации… исключая оценку соответствия средств защиты информации и иной продукции, перечисленной в пресловутой 5-й статье ФЗ «О техническом регулировании». Т.е. либерализация постепенно проникает в различные сферы нашей жизни, исключая вопросы информационной безопасности
Писал я тут большое исследование на тему сертификации средств защиты информации в России, в рамках которого анализировались нормативные акты, упоминающие оценку соответствия или сертификацию средств защиты информации. Это и «старые» документы ФСБ и ФСТЭК, и «новые» нормативные акты — ПП-781, ПП-330, ПП-424 и т.
Разное
Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации — прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом
Законодательство
Союз ИТ-директоров России перевел первую часть новой версии стандарта оценки ИТ с точки зрения информационной безопасности — ISO/IEC 15408:2009. Это всем известные «Общие критерии», которые приняты в качестве ГОСТа и в России, но в своей предыдущей, второй версии. Нынешняя же версия — самая последняя.
Разное
Очередное значимое для Cisco событие — запуск в России сертифицированного производства средств защиты на базе компании Kraftway. Несколько лет назад у нас уже был реализован такой проект и вот новый этап его развития. Учитывая возрастающую роль сертификации (все-таки изменения в ФЗ «О техрегулировани»