Сертификация ФСТЭК или Bug Bounty / Реальная безопасность
Чем выше культура безопасной разработки, тем меньше шансов на появление уязвимостей в коде. В этом видео обсуждаем вопросы информационной безопасности и регуляторики в контексте сертификации программного обеспечения. Сертификат ФСТЭК не гарантирует отсутствие ошибок, закладок и уязвимостей в ПО, впрочем, как и Bug Bounty.
Эксперт новой серии технологического шоу AM Talk - Дмитрий Пономарев, зам. ген. дир. испытательной лаборатории НТЦ «Фобос-НТ» / сотрудник Института системного программирования им. В. П. Иванникова РАН / преподаватель МГТУ им. Баумана, кафедра ИУ10.
Почему его стоит посмотреть и послушать? Этот тот самый человек, который помогает внедрять и развивать практики безопасной разработки; работает в испытательной лаборатории - занимается исследованиями ПО на предмет уязвимостей и НДВ. Кроме того, Пономарев - участник рабочих групп по созданию новых ГОСТ в области безопасной разработки.
За 10 минут мы разберем:
- новый тренд в подходах к сертификации ФСТЭК;
- различия между Bug Bounty и сертификацией, в том числе в использовании исходных кодов, контроле за участниками и возможности утечек информации;
- может ли Bug Bounty стать частью процесса сертификации ФСТЭК в ближайшем будущем.
А что думаете вы? Нам важно мнение наших подписчиков, ждем вас в комментариях!
----
выпуски по теме:
ГосСОПКА - это не страшно
• ГосСОПКА - это не страшно
-----
Содержание:
00:07 Интро о безопасной разработке
00:39 Гарантирует ли сертификат ФСТЭК России безопасность?
02:49 На стороне разработчика
03:25 Скорое обновление ГОСТ по безопасной разработке
04:41 Можно ли заменить сертификацию ФСТЭК на Bug Bounty
05:01 Тезис № 1: Black box vs. White box тестирование
07:10 Тезис № 2: не всё ПО подходит для BB
08:18 Тезис № 3: Bug Bounty как шанс на удачу, а не устойчивый процесс
09:28 Аутро о культуре безопасной разработки
Календарь трансляций AM Live live.anti-malware.ru/
Шоу AM Talk и заявка на участие www.anti-malware.ru/services/...
t.me/anti_malware
vk.com/anti_malware
www.anti-malware.ru/news
Сотрудничество и связь с редакцией:
author@anti-malware.ru
По вопросам рекламы:
sales@anti-malware.ru
Содержание: 00:07 Интро о безопасной разработке 00:39 Гарантирует ли сертификат ФСТЭК России безопасность? 02:49 На стороне разработчика 03:25 Скорое обновление ГОСТ по безопасной разработке 04:41 Можно ли заменить сертификацию ФСТЭК на Bug Bounty 05:01 Тезис № 1: Black box vs. White box тестирование 07:10 Тезис № 2: не всё ПО подходит для BB 08:18 Тезис № 3: Bug Bounty как шанс на удачу, а не устойчивый процесс 09:28 Аутро о культуре безопасной разработки
Хотелось бы все таки внести ясность. Правильно ли понимать, что сертификат ФСТЭК на отсутствие НДВ не гарантирует их отсутствие?
ФСТЭК - бесполезен, вы слишком мягко сказали о том, как они в начале думали, что взяли быка за рога, а в итоге поняли (хорошо, что все таки поняли), что не могут оседлать направление с кокнретикой, теперь пытаются выйти на уровень абстракции, где все должны сами решить свои проблемы, а ФСТЭК типа организатор .... очень эффективно организовывать когда например у тебя разрабы никогда не писавшие безопасный код и не умеющие это делать и которые инфраструктуру линукса видят первый раз в жизни. А к ним приходит ФСТЭК и говорит - а давайте вы такие у себя организуете все безопасно. Т.е. получается безопасность будет в таком продукте на уровне компетенции кодеров, т.е. не пойми какая. Зато у нас регулятор осваивает бюджет. До сих пор интересно каким местом они сертифицировали пакеты линукс образов, сидели код перелопачивали? а потом каждый месяц мы видим с 10ок новых CVE? о каком тогда сертификации речь? шарлатаны продающие бумажку которая по факту пустой звук. А безопасность будет только там где люди и без регуляторов имеют опыт организовать безопасную инфраструктуру в целом, хотя и тут много вопросов закрытому коду и импортному железу. Вы на видео все правильно говорите, но очень мягко обходите проблемы ФСТЭК.
Почему они всё ещё не могут сами себе нормальные SSL сертификаты сделать? Не работает даже через chromium ГОСТ и Яндекс браузер)))