Необходимость освобождения российских разработчиков операционных систем и ИБ-продуктов от повторной сертификации ФСТЭК России при выпуске обновлений обсуждается давно. По словам Руслана Рыхнова, менеджера по маркетингу и PR компании «Нума Технологии», этот вопрос находится в центре внимания ведомства, сообщает портал CISOCLUB.
«Хотелось бы подчеркнуть, что вопрос, который обсуждается, уже давно находится в центре внимания Федеральной службы по техническому и экспортному контролю России (ФСТЭК России). В этом направлении активно ведется работа, с привлечением разработчиков средств защиты информации и ключевых участников системы сертификации – аккредитованных ФСТЭК России испытательных лаборатории и органов по сертификации.
В частности, для облегчения и ускорения процесса инспекционного контроля уже были внесены изменения в Приказ №55 ФСТЭК России относительно сертификации «безопасной разработки». ГОСТ Р №56939 по безопасной разработке представлен для публичного обсуждения», — отметил Руслан Рыхнов.
По словам эксперта, обсуждаемые изменения направлены на упрощение процесса инспекционного контроля средств защиты информации и сокращение времени рассмотрения свидетельств – протоколов и заключений, формируемых разработчиками СЗИ и испытательными лабораториями в ходе инспекционного контроля.
Сокращение времени на прохождение сертификации или инспекционного контроля за счет внедрения разработчиками процедур безопасной разработки безусловно положительно скажется на всех этапах жизненного цикла сертифицированных продуктов.
При этом представитель компании «Нума Технологии» отмечает, что эффективность безопасной разработки зависит от того, насколько разработчик качественно реализует и поддерживает внутренние процессы в соответствии с утвержденными стандартами разработки безопасного программного обеспечения (SDL).
Кроме того, требуется наличие квалифицированного инженерного персонала – специалистов, со вполне конкретными знаниями и навыками, которые смогут выполнять: статический и динамический анализ (включая фаззинг) кода, поиск уязвимостей CVE. Проблема доступности специалистов такой квалификации остается открытой для многих организаций, которые планируют реализацию процедур безопасной разработки. Актуальной остаётся и проблема обеспечения процедур безопасной разработки программными средствами их реализации.
«Наша компания имеет богатый опыт сертификации продуктов собственной разработки в системе сертификации ФСТЭК России. Благодаря реализованным внутренним процессам, время на сертификацию продуктов и проведение их контролей не превышает регламентированного Регулятором, мы получаем минимум замечаний к нашим документам. Ресурсы, затраченные нами на реализацию процедур безопасной разработки, в том числе позволяют планировать работу по плановому выпуску обновлений и новых версий наших продуктов, что в свою очередь повышает лояльность наших партнеров и конечных пользователей наших продуктов.
Эффективность и значимость процедур безопасной разработки можно продемонстрировать на примере нашей Серверной доверенной системы виртуализации Numa vServer, которая одной из первых в России была сертифицирована по новым требованиям к средствам виртуализации», — резюмировал эксперт.
Оригинал публикации на сайте CISOCLUB: "Руслан Рыхнов: ФСТЭК давно планирует освободить разработчиков от повторной сертификации".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
