Диалектика сертификации
Когда давеча ваш покорный слуга осмелился критиковать систему сертификации ПО, упустил важный аргумент.
Институт сертификации был придуман для статичных вещей и заточен под них же. А программы - предмет динамичный, особенно современные. И чем современней, тем динамичнее.
Процесс сертификации занимает полгода, а обновления должны выходить раз в квартал. Пока обновление (обновлённую версию) не сертифицируешь, патч накатывать нельзя. Это ж нонсенс!
- Помни о Двух: производительные силы и производственные отношения. При сертификации на НДВ ищут в программе закладки, ошибки и другие уязвимости. Иногда парочку находят. Но история не знала случая, чтобы при дальнейшей эксплуатации в сертифицированной программе не нашлось ещё других уязвимостей. То есть, гарантии нет. А насколько при сертификации снижается вероятность наличия дырки - очень большой вопрос. Возможно, что ни на сколько. Это ж пустые траты!
Своевременное закрытие только лишь известных уязвимостей снижает вероятность заражения вредоносной программой в десятки раз. Это значит, в интересах ИБ заставить производителей как можно скорей выпускать патчи, а пользователей принудить без промедления их ставить. Есть сертификация на полноту и скорость выпуска обновлений? Нет. Это ж упущение!
Вот и выходит, что нынешний институт сертификации - неприменимое к софту старьё. Пора ему на свалку истории. Требуется нечто, заточенное под современный жизненный цикл ПО. Новая версия - раз в полгода. Новая уязвимость - раз в месяц. Время создания эксплоита после обнаружения уязвимости - несколько часов. Вот за таким темпом жизни должна поспевать защита информации.
Есть мнение, что безопасность - не продукт, а процесс. Следовательно, и сертифицировать надо не продукты, а процессы. Да и сам сертификат, пожалуй, можно сделать процессом.
Институт сертификации был придуман для статичных вещей и заточен под них же. А программы - предмет динамичный, особенно современные. И чем современней, тем динамичнее.
Процесс сертификации занимает полгода, а обновления должны выходить раз в квартал. Пока обновление (обновлённую версию) не сертифицируешь, патч накатывать нельзя. Это ж нонсенс!
- Помни о Двух: производительные силы и производственные отношения. При сертификации на НДВ ищут в программе закладки, ошибки и другие уязвимости. Иногда парочку находят. Но история не знала случая, чтобы при дальнейшей эксплуатации в сертифицированной программе не нашлось ещё других уязвимостей. То есть, гарантии нет. А насколько при сертификации снижается вероятность наличия дырки - очень большой вопрос. Возможно, что ни на сколько. Это ж пустые траты!
Своевременное закрытие только лишь известных уязвимостей снижает вероятность заражения вредоносной программой в десятки раз. Это значит, в интересах ИБ заставить производителей как можно скорей выпускать патчи, а пользователей принудить без промедления их ставить. Есть сертификация на полноту и скорость выпуска обновлений? Нет. Это ж упущение!
Вот и выходит, что нынешний институт сертификации - неприменимое к софту старьё. Пора ему на свалку истории. Требуется нечто, заточенное под современный жизненный цикл ПО. Новая версия - раз в полгода. Новая уязвимость - раз в месяц. Время создания эксплоита после обнаружения уязвимости - несколько часов. Вот за таким темпом жизни должна поспевать защита информации.
Есть мнение, что безопасность - не продукт, а процесс. Следовательно, и сертифицировать надо не продукты, а процессы. Да и сам сертификат, пожалуй, можно сделать процессом.