Telegram Group & Telegram Channel
Telegram Group » United States » AKTIV.CONSULTING » Telegram Webview » Post 1225
AKTIV.CONSULTING
⚡️C 1 июня 2024 года вступил в силу приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Данный документ важен для организаций-разработчиков СрЗИ.

Наш методолог по ИБ Алексей Филиппов выделил основные моменты в документе, которые необходимо исполнить изготовителю СрЗИ:

1. Внедрить процессы БРПО, описанные в ГОСТ 56939-2016.

2. Заключить договор для проведения сертификации с аккредитованным ФСТЭК России органом по сертификации (указаны на сайте регулятора).

3. Направить во ФСТЭК России заявку на сертификацию (полный перечень информации, который необходимо указать в заявке, рекомендуем посмотреть в самом приказе).

К заявке нужно приложить руководство по БРПО (разработанное в соответствии с вышеуказанным ГОСТ).

4. Устранить замечания ФСТЭК России к заявке и руководству (в случае их наличия).

5. После получения положительного решения от ФСТЭК России — направить в орган по сертификации руководство по БРПО для проведения процедуры сертификации в сроки, установленные договором.

Сроки рассмотрения заявки и прочие взаимодействия с ФСТЭК России также описаны в приказе.


Процедура сертификации включает:

• оценку соответствия руководства по БРПО и иной документации;

• проверку наличия средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;

• проверку реализации процессов БРПО, приведенных в руководстве и в иной документации;

• проверку реализации процедур поддержки безопасности ПО;

• проверку выполнения требований к обучению специалистов, участвующих в реализации процессов БРПО.


➡️ По результатам сертификации орган сертификации оформляет отчетные документы и в случае несоответствия направляет изготовителю СрЗИ.

➡️ Изготовитель устраняет выявленные несоответствия и информирует об этом орган по сертификации, после чего проводится повторная сертификация и оформляются новые документы по сертификации.

➡️ Все документы орган направляет во ФСТЭК России и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

➡️ В случае выявления в материалах сертификации недостатков ФСТЭК России направляет органу по сертификации и изготовителю уведомление о выявленных в материалах сертификации недостатках с их описанием и предложениями по устранению.

➡️ Орган по сертификации с участием изготовителя устраняет выявленные недостатки, при необходимости проводит повторную сертификацию и представляет во ФСТЭК России доработанные материалы сертификации.

Сертификат соответствия выдаётся на срок, указанный в заявке, но не более чем на 5 лет!


❗️Таким образом, процедура сертификации для изготовителя СрЗИ в основном сводится к внедрению процессов БРПО, согласно требованиям ГОСТ 56939-2016. Это, в свою очередь, может оказаться непростой задачей, т.к. стандарт довольно объемный и охватывает многие стадии ЖЦ ПО, а также требует серьезного отношения к документированию и сбору свидетельств по процессам (что в коллективах разработчиков не вызывает зачастую особого энтузиазма).

Кроме того, в стандарте описаны требования к внедрению смежных стандартов, относящихся к безопасной разработке, например, ГОСТ Р 71207-2024 по статическому анализу, ГОСТ Р 71206-2024 по безопасному компилятору и другие проекты ГОСТ по динамическому анализу, моделированию угроз и т.д.
#БРПО

💬tg_AC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥5👏31
www.group-telegram.com/us/aktivcons.com/1225
1.61K views



group-telegram.com/aktivcons/1225
Create:
Last Update:

⚡️C 1 июня 2024 года вступил в силу приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Данный документ важен для организаций-разработчиков СрЗИ.

Наш методолог по ИБ Алексей Филиппов выделил основные моменты в документе, которые необходимо исполнить изготовителю СрЗИ:

1. Внедрить процессы БРПО, описанные в ГОСТ 56939-2016.

2. Заключить договор для проведения сертификации с аккредитованным ФСТЭК России органом по сертификации (указаны на сайте регулятора).

3. Направить во ФСТЭК России заявку на сертификацию (полный перечень информации, который необходимо указать в заявке, рекомендуем посмотреть в самом приказе).

К заявке нужно приложить руководство по БРПО (разработанное в соответствии с вышеуказанным ГОСТ).

4. Устранить замечания ФСТЭК России к заявке и руководству (в случае их наличия).

5. После получения положительного решения от ФСТЭК России — направить в орган по сертификации руководство по БРПО для проведения процедуры сертификации в сроки, установленные договором.

Сроки рассмотрения заявки и прочие взаимодействия с ФСТЭК России также описаны в приказе.


Процедура сертификации включает:

• оценку соответствия руководства по БРПО и иной документации;

• проверку наличия средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;

• проверку реализации процессов БРПО, приведенных в руководстве и в иной документации;

• проверку реализации процедур поддержки безопасности ПО;

• проверку выполнения требований к обучению специалистов, участвующих в реализации процессов БРПО.


➡️ По результатам сертификации орган сертификации оформляет отчетные документы и в случае несоответствия направляет изготовителю СрЗИ.

➡️ Изготовитель устраняет выявленные несоответствия и информирует об этом орган по сертификации, после чего проводится повторная сертификация и оформляются новые документы по сертификации.

➡️ Все документы орган направляет во ФСТЭК России и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

➡️ В случае выявления в материалах сертификации недостатков ФСТЭК России направляет органу по сертификации и изготовителю уведомление о выявленных в материалах сертификации недостатках с их описанием и предложениями по устранению.

➡️ Орган по сертификации с участием изготовителя устраняет выявленные недостатки, при необходимости проводит повторную сертификацию и представляет во ФСТЭК России доработанные материалы сертификации.

Сертификат соответствия выдаётся на срок, указанный в заявке, но не более чем на 5 лет!


❗️Таким образом, процедура сертификации для изготовителя СрЗИ в основном сводится к внедрению процессов БРПО, согласно требованиям ГОСТ 56939-2016. Это, в свою очередь, может оказаться непростой задачей, т.к. стандарт довольно объемный и охватывает многие стадии ЖЦ ПО, а также требует серьезного отношения к документированию и сбору свидетельств по процессам (что в коллективах разработчиков не вызывает зачастую особого энтузиазма).

Кроме того, в стандарте описаны требования к внедрению смежных стандартов, относящихся к безопасной разработке, например, ГОСТ Р 71207-2024 по статическому анализу, ГОСТ Р 71206-2024 по безопасному компилятору и другие проекты ГОСТ по динамическому анализу, моделированию угроз и т.д.
#БРПО

💬tg_AC

BY AKTIV.CONSULTING


Warning: Undefined variable $i in /var/www/group-telegram/post.php on line 260

Share with your friend now:
group-telegram.com/aktivcons/1225

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

These entities are reportedly operating nine Telegram channels with more than five million subscribers to whom they were making recommendations on selected listed scrips. Such recommendations induced the investors to deal in the said scrips, thereby creating artificial volume and price rise. "We're seeing really dramatic moves, and it's all really tied to Ukraine right now, and in a secondary way, in terms of interest rates," Octavio Marenzi, CEO of Opimas, told Yahoo Finance Live on Thursday. "This war in Ukraine is going to give the Fed the ammunition, the cover that it needs, to not raise interest rates too quickly. And I think Jay Powell is a very tepid sort of inflation fighter and he's not going to do as much as he needs to do to get that under control. And this seems like an excuse to kick the can further down the road still and not do too much too soon." In the United States, Telegram's lower public profile has helped it mostly avoid high level scrutiny from Congress, but it has not gone unnoticed. Telegram was co-founded by Pavel and Nikolai Durov, the brothers who had previously created VKontakte. VK is Russia’s equivalent of Facebook, a social network used for public and private messaging, audio and video sharing as well as online gaming. In January, SimpleWeb reported that VK was Russia’s fourth most-visited website, after Yandex, YouTube and Google’s Russian-language homepage. In 2016, Forbes’ Michael Solomon described Pavel Durov (pictured, below) as the “Mark Zuckerberg of Russia.” Update March 8, 2022: EFF has clarified that Channels and Groups are not fully encrypted, end-to-end, updated our post to link to Telegram’s FAQ for Cloud and Secret chats, updated to clarify that auto-delete is available for group and channel admins, and added some additional links.
from us


⚡️C 1 июня 2024 года вступил в силу приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Данный документ важен для организаций-разработчиков СрЗИ.

 AKTIV.CONSULTING TG
Webview: 1225
AKTIV.CONSULTING.Telegram Webview
AKTIV.CONSULTING Telegram TG Channel
Telegram Updated:
Telegram AKTIV.CONSULTING
FROM American