СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Компания «Актив»
18.11.2024
#Dev#ИБ#Инфра

Ключевые моменты встречи ФСТЭК России с компаниями-разработчиками средств защиты информации по теме БРПО

В конце октября ФСТЭК России провела большое совещание с представителями компаний-разработчиков СЗИ. Одной из тем обсуждения стали вопросы безопасной разработки программного обеспечения (БРПО) и их сертификации.

Эксперт Компании “Актив” Евгений Ларионов поделился некоторыми важными моментами встречи:

— Утвержден новый ГОСТ Р 56939-2024 по безопасной разработке, который вступает в силу с 20 декабря 2024 года.

— С 1 ноября этого года при подаче во ФСТЭК заявки на сертификацию необходимо предоставить перечень заимствованных компонент. Далее во ФСТЭК будет сформирован план испытаний таких компонент, и затем, после получения сертификата на продукт, регулятор направит план поддержки заимствованных компонент. Кроме того, уже в этом месяце должна появиться методика формирования перечней заимствованных компонент.

— Также установлены требования к анализу интерпретаторов, веб-серверов и серверов приложений. Согласно информационному письму ФСТЭК от 25.10.2024, в случае использования СЗИ для реализации функций безопасности или в составе поверхности атаки интерпретаторов, веб-серверов и серверов приложений из состава среды функционирования СЗИ, они должны быть сертифицированы по требованиям безопасности информации.

Кроме того, при включении в состав операционных систем таких несертифицированных компонент в технические условия на ОС должны быть внесены требования ко всем функциям по безопасности, содержащихся в указанных компонентах. Сами же компоненты должны пройти испытания по выявлению уязвимостей и НДВ, а также соответствовать требованиям, которые указаны в технических условиях.

Для всех иных СЗИ несертифицированные интерпретаторы, веб-сервера и сервера приложений проходят испытания в составе СЗИ в части задействования указанных компонентов при реализации функций по безопасности СЗИ или в поверхности атаки.

— Сертифицировать процессы безопасной разработки пока можно в одном органе — ИСП РАН (на данный момент уже выдан один сертификат, на очереди еще семь компаний). Сам процесс занимает около двух месяцев, но из-за большой загрузки начало работ может сильно сдвинуться (например, те, кто подает заявление сейчас, начнёт проходить испытания не раньше лета 2025 года).

— Процесс сертификации будет включать проверку документации по БРПО, интервьюирование персонала по теме внедрения процесса БРПО, а также испытание процессов на конкретном программном изделии (достаточно показать весь процесс от и до на одном продукте).

— Также были отмечены изменения в Приказ ФСТЭК России N17. В документ добавлены новые меры по защите информации, при этом большой акцент сделан на защиту от атак, направленных на отказ в обслуживании (anti-DDoS).

Автор: Евгений Ларионов, менеджер проектов по сертификации и информационной безопасности Компании «Актив».

Компания «Актив»
Автор: Компания «Актив»
Компания «Актив» — крупнейший российский производитель и разработчик программно-аппаратных средств защиты информации. Компания предлагает продукты и решения под брендом Рутокен для аутентификации, электронной подписи и обеспечения безопасности киберфизических систем, решения для лицензирования, защиты и управления продажами программных продуктов под брендом Guardant, оказывает услуги по консалтингу и аудиту в области информационной безопасности в рамках направления AKTIV.CONSULTING. На сегодняшний день подавляющее большинство российских государственных организаций и частных компаний используют решения и продукты Компании.
Комментарии: