Comments | infowatch: Диалектика сертификации

infowatch

Диалектика сертификации

Oct 23, 2010 19:20

Когда давеча ваш покорный слуга осмелился критиковать систему сертификации ПО, упустил важный аргумент.

Институт сертификации был придуман для статичных вещей и заточен под них же. А программы - предмет динамичный, особенно современные. И чем современней, тем динамичнее ( Read more... )

футурология, защита информации, сертификация

Leave a comment

Back to all threads

arkanoid October 23 2010, 19:34:25 UTC

Именно.

Подход любой - отход какой ? swan_lj October 23 2010, 20:12:28 UTC

Да Бог с ним с подходом...
Каждый день проверять, проверять производство, проверять систему гарантирующую безопасность выпускаемого ПО и т.п.

Вопрос в другом:
- сам Разработчик готов доказать покупателю/заказчику безопасность своего ПО?

Re: Подход любой - отход какой ? arkanoid October 23 2010, 20:19:54 UTC

Вот!

Какой смысл показывать статический слепок "вот мы как бы родили более-менее приличный код, не знаем как", когда нужно показывать -- вот так у нас пишутся тесты, вот так у нас выглядит процесс релиза, вот так мы выпускаем патчи и фиксим баги?

Боюсь, что большинству разработчиков просто тогда не светит никакая сертификация :-)

Re: Подход любой - отход какой ? swan_lj October 23 2010, 20:30:49 UTC

Браво коллега !!!

Кто из Разработчиков готов представить не софт написанный на коленке состав которого сами не знают а...

- на этапе проектирования мы рассмотрели такие вопросы
- при проектировании предусмотрели это и это, применяли такие стандарты и практики, такие средства автоматизации проектирования безопасного кода
- при кодировании применяли такой контроль
- проводили промежуточный контроль, тестирование и моделирование
- полученное ПО подвергалось тестированию по следующим методикам, получены такие то результаты...

При таких условиях уровень доверия совсем другой !

Re: Подход любой - отход какой ? vit_r October 26 2010, 14:15:08 UTC

Во всех конторах, обязанных такое дело делать, (а видел я таких контор немало), вся эта ерундень пишется после или параллельно, но никогда не отражает реальное положение вещей.

Re: Подход любой - отход какой ? infowatch October 24 2010, 01:04:18 UTC

«вот так у нас пишутся тесты, вот так у нас выглядит процесс релиза, вот так мы выпускаем патчи и фиксим баги»
Если это не продукт, а процесс, то и сертификацию надо заменить рейтингованием. Примерно как выставляется кредитный рейтинг.

Например. Обнаружен баг - минус 5 пунктов. Выпустили патч за один день - плюс 10 пунктов. Выпускали патч две недели - минус 20 пунктов. Открыли линию техподдержки на новом языке - плюс 50 пунктов. Нахамили клиенту - минус один пункт. Как только вылетели из категории "ААА" в категорию "Б+" - продукт нельзя использовать для гостайны. Опустились ниже "ЦЦЦ" - нельзя для персональных данных.

Re: Подход любой - отход какой ? yurikgl October 24 2010, 07:33:23 UTC

Что делать с самописными продуктами?

Re: Подход любой - отход какой ? infowatch October 24 2010, 08:22:04 UTC

Как известно, кредитный рейтинг используется для вычисления процентной ставки для займа. Низкий или отсутствующий рейтинг не означает отказ в кредите. Просто процент и условия будут соответствуюшие.

Отсутствует рейтинг безопасности - ступайте в общую очередь; страхование информационных рисков по высшей ставке.

Re: Подход любой - отход какой ? yurikgl October 24 2010, 09:11:28 UTC

Если у корпорации есть свой "карманный" банк (примеры приводить не буду) и одна из компаний корпорации берет кредит в этом банке... Им обоим глубоко плевать на рейтинги...
А ведь такая ситуация нормальна.

Re: Подход любой - отход какой ? arkanoid October 25 2010, 11:55:29 UTC

Ничто не мешает сделать аудит собственных процессов разработки. Хотя бы задокументировать и представить на рассмотрение, или self-assessment как минимум.

Re: Подход любой - отход какой ? yurikgl October 25 2010, 15:49:16 UTC

Представить на рассмотрение и аттестовать - разные вещи...
Если я задокументирую и представлю на рассмотрение... я смогу там ПД обрабатывать?

Re: Подход любой - отход какой ? arkanoid October 25 2010, 16:04:18 UTC

Вообще говоря аттестацию в 99% случаев нужно заменить на декларацию соответствия. Но зато с жесткими карами в случае выявленных нарушений. Только это ж такая кормушка пропадет..

А "могу -- не могу".. В рамках действующего законодательства этот разговор смысла не имеет. Если спросить меня, как бы должно быть с точки зрения здравого смысла -- я ответил бы "можете", ну, с некоторыми поправками.

Re: Подход любой - отход какой ? swan_lj October 25 2010, 18:05:22 UTC

Вот насчет кормушки хотел бы добавить ( ... )

Re: Подход любой - отход какой ? swan_lj October 24 2010, 08:37:34 UTC

Мысль понята почти правильно только не все так красочно... с рейтингами...
с некоторыми моментами не переборщить бы а то посреди Атлантики:

- Внимание внимание говорит командир подводного крейсера ***
- БЧ5,БЧ7 прекратить использование ПБУ 28 в связи с тем что мы узнали что у производителя отобрали 5 пунктов рейтинга за пьянку на рабочем месте !

Что делать с используемыми продуктами у которых рейтинг упал ? Выкидывать ?

Re: Подход любой - отход какой ? infowatch October 24 2010, 08:46:25 UTC

Что делают вкладчики, когда узнают, что внезапно у их банка лицензию отозвали?

Re: Подход любой - отход какой ? swan_lj October 24 2010, 08:48:14 UTC

Понятия не имею...
Вопрос я так понимаю повис...

Back to all threads