Про стандарты безопасной разработки ФСТЭК

01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки

Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.

Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.

Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.

Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939

Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.

Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.

Статический анализ и фаззинг должны быть подключены к CI конвееру

При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ

Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16

#law #dev

Security Wine (бывший - DevSecOps Wine)

Про стандарты безопасной разработки ФСТЭК

01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки

Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.

Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.

Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.

Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939

Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.

Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.

Статический анализ и фаззинг должны быть подключены к CI конвееру

При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ

Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16

#law #dev

VK

DevSecOps / SSDLC - Безопасная разработка. Пост со стены.

Про стандарты безопасной разработки

01.11.19 прошло совещание во ФСТЭК касательно обсуждения... Смотрите полностью ВКонтакте.

hottg.com/sec_devops/20

962 viewsedited  Jan 15, 2020 at 14:58