[Проблемы сети]  Блин, надо договор смотреть.
Сообщение было послано: Crimson (wimax-client.yota.ru)
Дата: Пятница, Август 11 10:35:55 2017


ИЛ - испытательная лаборатория. Что есть ИС?

Вообще, я не очень понимаю, как ИЛ может "принять что-то на сертификацию" без пояснений и взаимодействия. Хотя, если ставить задачу нарубить бабла... В договоре должен быть прописан механизм доработки продукта, при выявлении уязвимостей. И количество итераций. И продление сроков испытаний. У нас бывали разные заявители, некоторые присылают идеально структурированный, откомментированный и понятный код, прямо приятно смотреть, работать легко и просто. А иногда приезжает такая "каша", что заявитель сам не знает как ЭТО работает. Но ни разу не было, чтобы ничего не находили, и не нужно было бы дорабатывать. Следовательно - любой договор на сертификацию, не предусматривающий доработок - изначально тухлый.

Ещё раз повторюсь - ИЛ сопровождает продукт в течении всего срока действия сертификата, и если обнаружится дыра, а ИЛ не будет принимать мер (связаться с заявителем, разработать орг.меры, временно закрывающие возможность использования дыры, возможно с потерей части функционала, потом исправить дыру, провести инспекционный контроль, выкатить новую серт.версию) - ИЛ лишат аттестата аккредитации. Подобное возможно только в случае нормального, человеческого взаимодействия с заявителем. Ну и инспекционный контроль можно также попробовать заложить в договор сопровождения.

Ещё из свежачка - ФСТЭК начал требовать проверку не только ПО, но и среды исполнения. Правда, не очень понятно, как закрывать дыры в средах исполнения, которые нам неподвластны и нет исходников. Кстати, насколько глубоко проверять их тоже неясно.

По поводу закрытой части БД уязвимостей. Она не висит на сайте ФСТЭКа. Но она есть у испытательной лаборатории. Вообще - ИЛ сообщают о найденных уязвимостях во ФСТЭК. Ещё есть сертификации по линии Мин.Обороны - там своя специфика, но насколько я понимаю ведомства дружат и базы объединяют. ФСБ наверняка ведёт работу по поиску уязвимостей (в обе стороны), и часть их наверняка тоже попадает в базу. Могу сказать с уверенностью, что в базе ФСТЭКа есть уязвимости, которых нет в CVE. Проверки по этим двум обычно достаточно.


Сообщения в этом потоке
+ [Проблемы сети]  а кто знает как работает ФСБ в плане уязвимостей? (url)(pic) (678) - кадум тив (c49-177-142-45.brasd4.vic.optusnet.com.au) - 11/8/2017 8:29
+ Я думаю они отлично работают с друзьями, а с кем не хотят будут работать так как Ты предполагаешь (302) - Mogwaika (broadband-46-242-14-227.moscow.rt.ru) - 11/8/2017 17:47+ У тебя картинки 403 отдают. (378) - Nable (bestation.campus.mipt.ru) - 11/8/2017 13:00
+ да не работает зловики (-) (286) - кадум тив (c49-177-142-45.brasd4.vic.optusnet.com.au) - 11/8/2017 17:04
+ Не путай зловики и zlowiki. (-) (312) - Nable (bestation.campus.mipt.ru) - 12/8/2017 0:38
+ Работает всё. (-) (318) - Boba Fett (bran.ispras.ru) - 11/8/2017 17:38
+ Как дела у ФСБ не расскажу, а как у ФСТЭКа - извольте. (459) - Crimson (n06-07-07.opera-mini.net) - 11/8/2017 8:48
+ а может расскажете как со ФСТЭКом у OpenStack'ов разных производителей (323) - Mindwhirl (lt61.friproxy.eu) - 11/8/2017 21:50
+ а что значит "закрытая база"? (398) - кадум тив (c49-177-142-45.brasd4.vic.optusnet.com.au) - 11/8/2017 9:09
+ Блин, надо договор смотреть. (373) - Crimson (wimax-client.yota.ru) - 11/8/2017 10:35
+ не ИС, а ИЛ, опечатался. Понял что для начала договор надо смотреть, спасибо. (-) (294) - кадум тив (c49-177-142-45.brasd4.vic.optusnet.com.au) - 11/8/2017 11:17
Ответить

Имя:   Пароль:    Автологин
Тема:
        

Отключить распознавание Тегов конференции
Отключить распознавание смайл-кодов
Получать уведомления об ответах по почте

 

Конференция основана на движке WWWConf 2.0 PRE BETA5, поддерживается и модерируется группой энтузиастов.