Автор: Антон | 64160 | 06.07.2016 07:43 |
Товарищи, было бы интересно узнать Ваше мнение.
В общем, одним из самых известных СЗИ для поиска уязвимостей ПО является сканер безопасности xspider (в частности 7.8). В НД ФСТЭК четко говорится, что должна быть "возможность оперативного обновления базы данных выявляемых уязвимостей". Общался тут с Positive Technologies и они прямо сказали, что БД уязвимостей обновляется вместе с программой, однако для сертифицированных версий оперативное обновление программы не предусмотрено. Т.о. получается, что СЕРТИФИЦИРОВАННАЯ ФСТЭК версия СЗИ не отвечает требованиям установленным самим же ФСТЭК. Что я не правильно понимаю?))) |
Автор: malotavr | 64164 | 06.07.2016 15:15 |
Получается, что вы бежите впереди паровоза :) Вас не смущает, что XSpider сертифицирован на ТУ, согласованные со ФСТЭК?
"Требование, установленное самим же ФСТЭК" - это требование профиля защиты на определенный вид СЗИ. К XSpider и MaxPatrol будут предъявляться требования профилей защиты на средства анализа защищенности. Эти профили сейчас разрабатываются, пока прошла тлько стадия обсуждения первой редакции, но уже ясно, какие требования в них войдут. В частности, там определяется, что же такое это самое "оперативное обновление баз уязвимостей". Одновременно с разработкой профилей идет доработка САЗ, чтобы они этим профилям соответствовали. Так что как только профили будут утверждены, будет проведена сертификация новых версий XSpider и MaxPatrol на соответствие заданиям по безопасности, соответствующим утвержденному профилю защиты. Но это будут уже другие версии продуктов, и в них будет оперативное обновление в соответствии с требованиями профиля. А до этого момента в ходе обсуждени ФСТЭК считает сложившуюся схему периодической пересертификации нормальной. |
Автор: Антон | 64407 | 20.07.2016 04:54 |
malotavr
Все понятно. Спасибо за разъяснение деталей.))) |
Автор: Максим | 106646 | 07.06.2019 18:22 |
Здравствуйте. Подскажите, какой сканер уязвимости подойдёт под гостайну?
|
Автор: oko | 106652 | 09.06.2019 01:03 |
to Максим
Из известных мне только Ревизор Сети имеет сертификат по НДВ-3 и выше (в частности, НДВ-2)... |
Просмотров темы: 5551