Комментарии 3
Это означает, что платформа прошла проверку на соответствие требованиям по защите информации и может использоваться в системах, где безопасность данных критична.
Это означает лишь то, что часть исходного кода ПО Luxms BI, отвечающего за механизмы безопасности, подверглась лабораторным испытаниям и в последствии получила документ от ФСТЭК подтверждение о соответствии требованиям безопасности. Причём, лаборатория испытывала то, что ей предоставили, а ФСТЭК делал своё заключение на основании данных от лаборатории. Насколько действительно можно доверять ПО, вопрос спорный.
Сертификат ФСТЭК даёт, в первую очередь, "бумажную" защиту. Технически, особенно учитывая в ПО возможные заимствованные компоненты, для специалиста ИБ сертификат ФСТЭК никакой ощутимой пользы не несёт.
Разве для прикрытия зада пользы не будет?
Согласен, что сертификат ФСТЭК России не надо трактовать как «ПО гарантированно безопасно». Сертификация проверяет конкретный объект оценки: версию, состав поставки, заявленные функции безопасности, эксплуатационную документацию и условия применения. Вне этих условий сертификат не превращается в «универсальную гарантию».
При этом сводить 4 уровень доверия только к «бумажной защите» тоже некорректно, т.к. это дифференцированный набор требований к средству: к разработке и производству, к проведению испытаний и к поддержке безопасности средства.
Сертификат ФСТЭК России — не доказательство отсутствия уязвимостей и не индульгенция для эксплуатации «как попало». Но это и не просто бумага. Это юридически значимое подтверждение соответствия конкретного состава и версии продукта установленным требованиям, которое важно для аттестации (оценки соответствия), выбора допустимых средств в регулируемом контуре и снижения регуляторного риска (!).
Luxms BI получила сертификат ФСТЭК России по 4 уровню доверия