Сертификация ФСТЭК или Bug Bounty / Реальная безопасность

Чем выше культура безопасной разработки, тем меньше шансов на появление уязвимостей в коде. В этом видео обсуждаем вопросы информационной безопасности и регуляторики в контексте сертификации программного обеспечения. Сертификат ФСТЭК не гарантирует отсутствие ошибок, закладок и уязвимостей в ПО, впрочем, как и Bug Bounty. Эксперт новой серии технологического шоу AM Talk — Дмитрий Пономарев, зам. ген. дир. испытательной лаборатории НТЦ «Фобос-НТ» / сотрудник Института системного программирования им. В. П. Иванникова РАН / преподаватель МГТУ им. Баумана, кафедра ИУ10. Почему его стоит посмотреть и послушать? Этот тот самый человек, который помогает внедрять и развивать практики безопасной разработки; работает в испытательной лаборатории — занимается исследованиями ПО на предмет уязвимостей и НДВ. Кроме того, Пономарев — участник рабочих групп по созданию новых ГОСТ в области безопасной разработки. За 10 минут мы разберем: - новый тренд в подходах к сертификации ФСТЭК; - различия между Bug Bounty и сертификацией, в том числе в использовании исходных кодов, контроле за участниками и возможности утечек информации; - может ли Bug Bounty стать частью процесса сертификации ФСТЭК в ближайшем будущем. А что думаете вы? Нам важно мнение наших подписчиков, ждем вас в комментариях! ----- Содержание: 00:07 Интро о безопасной разработке 00:39 Гарантирует ли сертификат ФСТЭК России безопасность? 02:49 На стороне разработчика 03:25 Скорое обновление ГОСТ по безопасной разработке 04:41 Можно ли заменить сертификацию ФСТЭК на Bug Bounty 05:01 Тезис № 1: Black box vs. White box тестирование 07:10 Тезис № 2: не всё ПО подходит для BB 08:18 Тезис № 3: Bug Bounty как шанс на удачу, а не устойчивый процесс 09:28 Аутро о культуре безопасной разработки