Утвержден национальный стандарт по разработке безопасного программного обеспечения!

Ваш отзыв

Федеральным агентством по техническому регулированию и метрологии (Росстандартом России) утвержден национальный стандарт ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», разработанный специалистами НПО «Эшелон»!

Утвержденный стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения и формированием (поддержанием) среды обеспечения оперативного устранения выявленных пользователями ошибок программного обеспечения и уязвимостей программы. Стандарт предназначен для разработчиков и производителей программного обеспечения, а также для организаций, выполняющих оценку соответствия процесса разработки программного обеспечения требованиям настоящего стандарта.

Ссылки на некоторые публикации и презентации специалистов НПО «Эшелон» по теме разработанного стандарта представлены далее по тексту:

— статья «28 Магических мер разработки безопасного программного обеспечения» (ссылка);

— статья «Methodological framework for analysis and synthesis of a set of secure software development controls» (ссылка);

— слайды презентации «Как мы писали ГОСТ по SSDL, и что из этого получилось» (ссылка).

Possibly Related Posts:


Госорганам приготовили классификатор российского «железа» для закупок

Ваш отзыв

c66f6e61c7f2f9e17de519686b3fcdabМинистерство промышленности и торговли РФ разработало проект постановления Правительства об ограничениях и условиях допуска на госзакупках отдельных видов зарубежной радиоэлектронной продукции. Как следует из появившегося в открытом доступе документа, если в ходе конкурса в ее отношении будет получено две и более заявок от российских производителей, все предложения иностранных вендоров должны быть отклонены.

К проекту постановления приложен список оборудования из нескольких десятков пунктов, на которое будут распространяться новые правила. В частности при наличии российских аналогов ограничения коснутся поставок ноутбуков, планшетов, смартфонов, мобильных телефонов, телекоммуникационного оборудования, кассовых терминалов, банкоматов.

Кроме того, в перечень документа внесены «машины вычислительные электронные цифровые, поставляемые в виде систем для автоматической обработки данных», а также «внутренние и внешние запоминающие устройства». Читать полностью »

Possibly Related Posts:


Руководителям государственных органов и органов местного самоуправления могут официально разрешить наблюдение за подчиненными в соцсетях

Ваш отзыв

После первомайских праздников на сайте Государственной думы Российской Федерации появился законопроект, предусматривающий внесение изменений в Федеральный закон от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федеральный закон от 02.03.2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации». Его положения обязывают гражданских и муниципальных служащих информировать кадровые службы о размещении в информационно-телекоммуникационной сети «Интернет» своих персональных данных, а также иных сведений, сделанных им общедоступными. Кроме того, законопроектом четко определены права представителей нанимателя осуществлять обработку информации о размещении в информационно-телекоммуникационной сети «Интернет» персональных данных претендентов на замещение должностей гражданской или муниципальной службы и гражданских или муниципальных служащих, а также иных сведений, сделанных ими общедоступными.

Читать полностью »

Possibly Related Posts:


Безопасность в современном мире – есть над чем поработать!

Ваш отзыв

18. IoT-Graphic_1На днях в финской газете Iltalehti опубликовали статью, о том что 10-ти летний мальчик из Хельсинки обнаружил уязвимость в социальной сети Instagram. И в рамках программы «BUG BOUNTY PROGRAM», в которой с 2014 года состоит сервис, получил вознаграждение за выявленный баг в размере 10 тысяч долларов.

Читать полностью »

Possibly Related Posts:


Про анализ уязвимостей в зарубежных системах сертификации

Ваш отзыв

Проведение анализа уязвимостей программного обеспечения в настоящее время является обязательной активностью экспертов испытательных лабораторий при проведении сертификационных испытаний, выполняемых по линии системы сертификации ФСТЭК России. Данный вид работ выполняется как при сертификации на соответствие требованиям утвержденных ФСТЭК России профилей защиты, в которых в явном виде включены требования семейства AVA_VAN «Анализ уязвимостей», так и при испытаниях на соответствие требованиям технических условий.

Методология анализа уязвимостей, рекомендуемая ФСТЭК России, заключается в совместном использовании подходов, изложенных в документах ГОСТ Р ИСО/МЭК 18045 и ISO/IEC TR 20004 «Information technology. Security techniques. Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045», и предполагает выполнение следующих шагов.

Читать полностью »

Possibly Related Posts: