Сертификация ФСТЭК или Bug Bounty / Реальная безопасность
Чем выше культура безопасной разработки, тем меньше шансов на появление уязвимостей в коде. В этом видео обсуждаем вопросы информационной безопасности и регуляторики в контексте сертификации программного обеспечения. Сертификат ФСТЭК не гарантирует отсутствие ошибок, закладок и уязвимостей в ПО, впрочем, как и Bug Bounty.
Эксперт новой серии технологического шоу AM Talk — Дмитрий Пономарев, зам. ген. дир. испытательной лаборатории НТЦ «Фобос-НТ» / сотрудник Института системного программирования им. В. П. Иванникова РАН / преподаватель МГТУ им. Баумана, кафедра ИУ10.
Почему его стоит посмотреть и послушать? Этот тот самый человек, который помогает внедрять и развивать практики безопасной разработки; работает в испытательной лаборатории — занимается исследованиями ПО на предмет уязвимостей и НДВ. Кроме того, Пономарев — участник рабочих групп по созданию новых ГОСТ в области безопасной разработки.
За 10 минут мы разберем:
- новый тренд в подходах к сертификации ФСТЭК;
- различия между Bug Bounty и сертификацией, в том числе в использовании исходных кодов, контроле за участниками и возможности утечек информации;
- может ли Bug Bounty стать частью процесса сертификации ФСТЭК в ближайшем будущем.
А что думаете вы? Нам важно мнение наших подписчиков, ждем вас в комментариях!
-----
Содержание:
00:07 Интро о безопасной разработке
00:39 Гарантирует ли сертификат ФСТЭК России безопасность?
02:49 На стороне разработчика
03:25 Скорое обновление ГОСТ по безопасной разработке
04:41 Можно ли заменить сертификацию ФСТЭК на Bug Bounty
05:01 Тезис № 1: Black box vs. White box тестирование
07:10 Тезис № 2: не всё ПО подходит для BB
08:18 Тезис № 3: Bug Bounty как шанс на удачу, а не устойчивый процесс
09:28 Аутро о культуре безопасной разработки
90 views
168
38
5 months ago 00:15:40 2
[BIS TV] ИСП РАН — Статический анализ и интерпретируемые языки (Александр Волков)
5 months ago 00:08:28 4
[BIS TV] ИСП РАН — Статический анализ и компилируемые языки (Дмитрий Журихин)
5 months ago 00:10:42 354
Сертификация ФСТЭК или Bug Bounty / Реальная безопасность
5 months ago 01:26:33 1
Ubuntu из России или суверенная ОС? Интервью с Uncom OS и первый взгляд на ноутбук СИЛА
6 months ago 00:19:45 1
Обзор Астра Линукс 2024. Обучение для чайников (настройка, установка программ и т.д.)
6 months ago 00:43:11 2
Анализ нового положения о сертификации средств защиты (Приказ ФСТЭК №55 от )
6 months ago 01:49:20 1
Анализ требований Банка России к некредитным финансовым организациям (положение 684-П)
6 months ago 00:15:54 1
Какую сертифицированную ОС можно использовать в России?
7 months ago 06:37:20 2
Актуальные вопросы защиты информации
11 months ago 00:19:25 32
Безопасная разработка: защищаем открытый код и получаем сертификацию ФСТЭК
11 months ago 00:32:11 1
Российская мобильная платформа Аврора
11 months ago 00:18:37 1
IT В РОССИИ СЕГОДНЯ. С чего начинается технологический суверенитет?
12 months ago 00:12:00 4
Так ли страшна сертификация ФСТЭК России? Кратко про приказ 17 и 21, ФЗ 162 и ГОСТы
12 months ago 00:09:50 4
Секреты сертификации СЗИ. Как пройти проверку ФСТЭК и не поседеть?
1 year ago 00:02:47 1
Цифровой продукт: Коммутаторы Т-КОМ
1 year ago 01:58:39 5
Как стать ИБ специалистом. Образование в ИТ | Точки над iT
2 years ago 00:21:57 1
Быстрое развертывание безопасной системы виртуализации zVirt
2 years ago 02:12:15 173
Лицензирование и сертификация ФСТЭК для технологических компаний
2 years ago 00:45:56 10
Защита индустриальных сетей ICS, SCADA, 5G: задачи и решения. Вебинар №8
2 years ago 00:00:17 34
Импортозамещение: как выбрать безопасную ОС?
2 years ago 00:56:40 25
Вебинар о сертификации: Что означают сертификаты ФСТЭК и ФСБ. Для чего они нужны
3 years ago 00:46:15 7
Сертифицированная версия Ideco UTM ФСТЭК: преимущества и отличия от других решений
3 years ago 00:52:26 1
Внедрение практик DevOps для 80+ проектов в крупной компании / Владимир Курындин, Иван Саварин