PK
В теории - да, но на практике самостоятельно среднестатистический субъект КИИ этого проделать не сумеет. Но выбор возможных исполнителей шире, чем в случае сертификации
спасибо!
Size: a a a
2020 September 14
АС
Так понимаю, это уже вполне себе барьер для иностранных продуктов, особенно без полноценных представительств у нас, т.к. они могут не знать всех этих деталей и по формальному признаку не полностью соответствовать
В тоже время есть представители иностранного ПО, которое успешно сертифицировано ФСТЭК России.
Но вообще да, какую-то долю иностранного ПО (я предполагаю, что очень большую) это требование срежет
Но вообще да, какую-то долю иностранного ПО (я предполагаю, что очень большую) это требование срежет
DK
В тоже время есть представители иностранного ПО, которое успешно сертифицировано ФСТЭК России.
Но вообще да, какую-то долю иностранного ПО (я предполагаю, что очень большую) это требование срежет
Но вообще да, какую-то долю иностранного ПО (я предполагаю, что очень большую) это требование срежет
Исчезающий вид. И речь идет не о средствах защиты (эти вендоры ко всему привычны), а о прикладном ПО. У которого в части контроля качества обычно конь не валялся.
PK
Функционально то QA есть, а вот с безопасностью разработки далеко не всегда хорошо
2020 September 15
E
Исчезающий вид. И речь идет не о средствах защиты (эти вендоры ко всему привычны), а о прикладном ПО. У которого в части контроля качества обычно конь не валялся.
Прикладное ПО для 13 сфер экономики и («обычно») без контроля качества? Не думаю, что глобальные производители для всего мира и себя делают качественное ПО, а для РФ нет.
А вот кормушку для ПЕРЕдастов создали - финансовые потоки пойдут через гражданина РФ на территории РФ, а если гражданин окажется не тот, то это же КИИ с 274 УК.
А вот кормушку для ПЕРЕдастов создали - финансовые потоки пойдут через гражданина РФ на территории РФ, а если гражданин окажется не тот, то это же КИИ с 274 УК.
DK
Прикладное ПО для 13 сфер экономики и («обычно») без контроля качества? Не думаю, что глобальные производители для всего мира и себя делают качественное ПО, а для РФ нет.
А вот кормушку для ПЕРЕдастов создали - финансовые потоки пойдут через гражданина РФ на территории РФ, а если гражданин окажется не тот, то это же КИИ с 274 УК.
А вот кормушку для ПЕРЕдастов создали - финансовые потоки пойдут через гражданина РФ на территории РФ, а если гражданин окажется не тот, то это же КИИ с 274 УК.
А я думал, что иллюзии про "это же западное, оно только качественное-качественное" закончились вместе лихими 90ми :) Бывает, все мы иногда ошибаемся.
Каждый наш проект по анализу уязвимостей в прикладном софте Сименса, Бомбардье, Ханивелла и т. п. - это пачка зеродеев, которые репортятся разработчикам. И это - производители, которые занимаются вопросами анализа уязвимостей.
В медицинских системах, биллинге и еще кое-где глобальные производители поиском уязвимостей не заморачиваются вовсе.
Каждый наш проект по анализу уязвимостей в прикладном софте Сименса, Бомбардье, Ханивелла и т. п. - это пачка зеродеев, которые репортятся разработчикам. И это - производители, которые занимаются вопросами анализа уязвимостей.
В медицинских системах, биллинге и еще кое-где глобальные производители поиском уязвимостей не заморачиваются вовсе.
N
А я думал, что иллюзии про "это же западное, оно только качественное-качественное" закончились вместе лихими 90ми :) Бывает, все мы иногда ошибаемся.
Каждый наш проект по анализу уязвимостей в прикладном софте Сименса, Бомбардье, Ханивелла и т. п. - это пачка зеродеев, которые репортятся разработчикам. И это - производители, которые занимаются вопросами анализа уязвимостей.
В медицинских системах, биллинге и еще кое-где глобальные производители поиском уязвимостей не заморачиваются вовсе.
Каждый наш проект по анализу уязвимостей в прикладном софте Сименса, Бомбардье, Ханивелла и т. п. - это пачка зеродеев, которые репортятся разработчикам. И это - производители, которые занимаются вопросами анализа уязвимостей.
В медицинских системах, биллинге и еще кое-где глобальные производители поиском уязвимостей не заморачиваются вовсе.
То есть в отечественном вы ничего не находите обычно и в целом дела там лучше?
DK
То есть в отечественном вы ничего не находите обычно и в целом дела там лучше?
Шутить изволите? :) У отечественных вендоров все еще хуже.
Приказ 239 не делает разницы между "иностранным" и "отечественным". Просто местным деваться, некуда, они будут давать исходники на анализ. А вот зарубежные и в лучшие времена отказывались это делать (Сименс, Бомбардье и Ханивелл - исключение, для них РФ - очень вкусный рынок сбыта), а после запрета США предоставлять исходники российским лабораториям это стало общим правилом.
Приказ 239 не делает разницы между "иностранным" и "отечественным". Просто местным деваться, некуда, они будут давать исходники на анализ. А вот зарубежные и в лучшие времена отказывались это делать (Сименс, Бомбардье и Ханивелл - исключение, для них РФ - очень вкусный рынок сбыта), а после запрета США предоставлять исходники российским лабораториям это стало общим правилом.
N
Шутить изволите? :) У отечественных вендоров все еще хуже.
Приказ 239 не делает разницы между "иностранным" и "отечественным". Просто местным деваться, некуда, они будут давать исходники на анализ. А вот зарубежные и в лучшие времена отказывались это делать (Сименс, Бомбардье и Ханивелл - исключение, для них РФ - очень вкусный рынок сбыта), а после запрета США предоставлять исходники российским лабораториям это стало общим правилом.
Приказ 239 не делает разницы между "иностранным" и "отечественным". Просто местным деваться, некуда, они будут давать исходники на анализ. А вот зарубежные и в лучшие времена отказывались это делать (Сименс, Бомбардье и Ханивелл - исключение, для них РФ - очень вкусный рынок сбыта), а после запрета США предоставлять исходники российским лабораториям это стало общим правилом.
Ну такой вывод был из предыдущего сообщения, что иностранщина дырявая (ремарки ж про отечественное не было, поэтому читалось так).
Кстати, а разве новые требования говорят об обязательном анализе российскими лабораториями? Самостоятельно это все сделать нельзя разве?
Кстати, а разве новые требования говорят об обязательном анализе российскими лабораториями? Самостоятельно это все сделать нельзя разве?
V
Дмитрий, сколько стоит такая проверка ПО и доработка для субъекта КИИ? относительно стоимости ПО? То есть, насколько повышается стоимость модернизации ЗОКИИ после вступления в силу требований 239 приказа?
N
Дмитрий, сколько стоит такая проверка ПО и доработка для субъекта КИИ? относительно стоимости ПО? То есть, насколько повышается стоимость модернизации ЗОКИИ после вступления в силу требований 239 приказа?
Вопрос, наверное, лучше задавать производителям приклада и после реального опыта прохождения квеста. ИМХО, у Дмитрия будет оценка со своей колокольни, тк у них процессы понятны и отлажены и это их хлеб в том числе.
DK
Дмитрий, сколько стоит такая проверка ПО и доработка для субъекта КИИ? относительно стоимости ПО? То есть, насколько повышается стоимость модернизации ЗОКИИ после вступления в силу требований 239 приказа?
Некорректная постановка вопроса.
Анализ и устранение уязвимостей - часть процессов жизненного цикла разработки. Когда эти процессы поставлены на поток, затраты на него составляют меньше одного процента себестоимости разработки (я где-то давал оценку - в среднем 1 человекочас на 100-150 человекочасов разработки). Это - затраты вендора. На старте будут разовые капитальные затраты (закупка анализаторов исходных кодов, поиск специалистов, консалтинг по выстраиваются процессов), но не сказать, чтобы они были запредельными.
От субъекта КИИ требуется только убедиться, что вендор такую работу ведет (есть руководство по качеству, вендор может показать свежий отчет по анализу уязвимостей, в идеале - есть положительные результаты аудита по ГОСТ 56939).
Сейчас это обкатывается на банковском секторе, для банков эта обязаловка начинается с 2021 независимо от значимости.
Анализ и устранение уязвимостей - часть процессов жизненного цикла разработки. Когда эти процессы поставлены на поток, затраты на него составляют меньше одного процента себестоимости разработки (я где-то давал оценку - в среднем 1 человекочас на 100-150 человекочасов разработки). Это - затраты вендора. На старте будут разовые капитальные затраты (закупка анализаторов исходных кодов, поиск специалистов, консалтинг по выстраиваются процессов), но не сказать, чтобы они были запредельными.
От субъекта КИИ требуется только убедиться, что вендор такую работу ведет (есть руководство по качеству, вендор может показать свежий отчет по анализу уязвимостей, в идеале - есть положительные результаты аудита по ГОСТ 56939).
Сейчас это обкатывается на банковском секторе, для банков эта обязаловка начинается с 2021 независимо от значимости.
V
Сам пишешь что этих процессов нет у разработчика, а у тех кто серьёзный - все равно требуется внешний аудит. То есть, ляжет это на субъекта КИИ, пока не раскачаются производители. ФСТЭК не смог даже производителей сертифицированных СЗИ обновить свои взгляды в указанные сроки, а здесь вообще люди не пуганные.
DK
Сам пишешь что этих процессов нет у разработчика, а у тех кто серьёзный - все равно требуется внешний аудит. То есть, ляжет это на субъекта КИИ, пока не раскачаются производители. ФСТЭК не смог даже производителей сертифицированных СЗИ обновить свои взгляды в указанные сроки, а здесь вообще люди не пуганные.
Внешний аудит не требуется, просто наличие такого аудита было бы идеальным для потребителя - все уже проверено за них.
На плечи субъекта это не может лечь ни при каком раскладе - самостоятельно провести даже статанализ кода среднестатистический субъект не сумеет и исходники ему никто не даст.
Будет, как в финсекторе, "отрицание - гнев - депрессия - торг - принятие". В следующем году вендоры начнут удивляться, к концу 22го начнутся первые проекты по выстраивания жизненного цикла, в 23м начнут появляться ограничительные требования в госконтрактах и с этого момента ключевые вендоры начнут наконец шевелиться.
На плечи субъекта это не может лечь ни при каком раскладе - самостоятельно провести даже статанализ кода среднестатистический субъект не сумеет и исходники ему никто не даст.
Будет, как в финсекторе, "отрицание - гнев - депрессия - торг - принятие". В следующем году вендоры начнут удивляться, к концу 22го начнутся первые проекты по выстраивания жизненного цикла, в 23м начнут появляться ограничительные требования в госконтрактах и с этого момента ключевые вендоры начнут наконец шевелиться.
V
Не разделяю я твоего оптимизма. Нельзя принимать такие приказы без оценки экономического воздействия на деятельность субъектов КИИ.
DK
Не разделяю я твоего оптимизма. Нельзя принимать такие приказы без оценки экономического воздействия на деятельность субъектов КИИ.
Это не оптимизм, это опыт финсектора :) Там уже стадия торга, но у них эта история началась на год раньше и срок на год меньше :)
DK
Ну такой вывод был из предыдущего сообщения, что иностранщина дырявая (ремарки ж про отечественное не было, поэтому читалось так).
Кстати, а разве новые требования говорят об обязательном анализе российскими лабораториями? Самостоятельно это все сделать нельзя разве?
Кстати, а разве новые требования говорят об обязательном анализе российскими лабораториями? Самостоятельно это все сделать нельзя разве?
Лаборатории тоже не справятся. Компании, умеющие анализировать код, можно пересчитать по пальцам.
Поэтому идут по другому пути. Есть анализаторы исходных кодов, которые встраиваются в процесс Q&A - например, каждый "ночной билд" прогоняется через автоматический статанализ, и утром разработчикам приходит пачка дефектов на устранение. А в релизное тестирование устраивается динамический анализ.
Но все это делает разработчик, а не внешняя лаборатория. Лаборатория привлекается только к контроль ному пентесту глобальных релизов.
Поэтому идут по другому пути. Есть анализаторы исходных кодов, которые встраиваются в процесс Q&A - например, каждый "ночной билд" прогоняется через автоматический статанализ, и утром разработчикам приходит пачка дефектов на устранение. А в релизное тестирование устраивается динамический анализ.
Но все это делает разработчик, а не внешняя лаборатория. Лаборатория привлекается только к контроль ному пентесту глобальных релизов.
АС
Внешний аудит не требуется, просто наличие такого аудита было бы идеальным для потребителя - все уже проверено за них.
На плечи субъекта это не может лечь ни при каком раскладе - самостоятельно провести даже статанализ кода среднестатистический субъект не сумеет и исходники ему никто не даст.
Будет, как в финсекторе, "отрицание - гнев - депрессия - торг - принятие". В следующем году вендоры начнут удивляться, к концу 22го начнутся первые проекты по выстраивания жизненного цикла, в 23м начнут появляться ограничительные требования в госконтрактах и с этого момента ключевые вендоры начнут наконец шевелиться.
На плечи субъекта это не может лечь ни при каком раскладе - самостоятельно провести даже статанализ кода среднестатистический субъект не сумеет и исходники ему никто не даст.
Будет, как в финсекторе, "отрицание - гнев - депрессия - торг - принятие". В следующем году вендоры начнут удивляться, к концу 22го начнутся первые проекты по выстраивания жизненного цикла, в 23м начнут появляться ограничительные требования в госконтрактах и с этого момента ключевые вендоры начнут наконец шевелиться.
Вся суть 187-ФЗ это скачок на два шага сразу. Т.е. будет отрицание-принятие сразу же. Времени на остальное просто не остается.
SB
Сделал краткий видеобзор изменений 239 приказа ФСТЭК по безопасности значимых объектов КИИ - удаленный доступ, оценка соответствия в форме испытаний, СЗИ 6-ого уровня доверия, требования к прикладному ПО https://youtu.be/Ol3GnVLGvTI
SB
Для тех кому некогда читать