19 сентября, четверг 02:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Анализ уязвимостей по ОУД4

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #61
    На ТК122 выложили проект Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций.
    Видимо официальный документ будет к концу года, т.к. профиль еще "сертифицировать" нужно..

    Комментарий


    • #62
      Сообщение от Cpx Посмотреть сообщение
      На ТК122 выложили проект
      А как там регистрироваться то?

      Комментарий


      • #63
        Сообщение от Александр Четвертый Посмотреть сообщение
        А как там регистрироваться то?
        Заявку посылать, я не знаю процесс.
        Документ конечно "огонь", 148 стр с тяжелыми для понимания терминологий (в духе ФСТЭК). Складывается у меня ощущения того, что не каждая АБС пройдет успешно такую проверку.

        И на мой взгляд сертификацию во ФСТЭК с учетом новых требований будет проще пройти технически, но дороже и дольше.

        Альтернативная ветка с Профилем защиты и заданием безопасности скорее всего затянется и по деньгам сравняется. По срокам это примерно 3-5 (на согласование и сертификацию профиля защиты) +3 (на подготовку Задания безопасности на конкретное СПО) + 2 (на аудит-сертификацю-аттестацию) месяца можно заложить.

        С этой темой знаком очень плохо, давно интересовался, но она не взлетала (за исключением редких проектов). М.б.malotavr подскажет более предметно специфику по ГОСТ ИСО МЭК.
        Последний раз редактировалось Cpx; 05.08.2019, 17:09.

        Комментарий


        • #64
          Сообщение от malotavr Посмотреть сообщение

          Только это не тот ОУД, который фигурирует в ГОСТ 15408
          А что будет ( или уже есть) в место ГОСТ 15408? Сцылку дайте

          Комментарий


          • #65
            Сообщение от Массаракш Посмотреть сообщение
            Сцылку дайте
            Документ от ФСТЭК вышедший на замену НДВ4 имеет гриф ДСП (поэтому ссылки нет)! Его заказывать 2 месяца надо.
            Если коротко существенно ни чего не поменялось НДВ4 переименовали в ОДУ4, за исключением того, что теперь нужно делать вместо 2 (формуляор и ТУ) документов целых 16! Самое интересное, что нет требований к составу и содержанию этих документов.
            Целевая аудитория документа - лаборатория и разработчик.
            ГОСТ 15408 не отменили, он остался и по нему делают Профиль защиты и ЗБ, а ЗБ уже оценивают.

            Комментарий


            • #66
              Сообщение от Cpx Посмотреть сообщение
              Документ от ФСТЭК вышедший на замену НДВ4 имеет гриф ДСП (поэтому ссылки нет)! Его заказывать 2 месяца надо.
              Если коротко существенно ни чего не поменялось НДВ4 переименовали в ОДУ4, за исключением того, что теперь нужно делать вместо 2 (формуляор и ТУ) документов целых 16! Самое интересное, что нет требований к составу и содержанию этих документов.
              Целевая аудитория документа - лаборатория и разработчик.
              ГОСТ 15408 не отменили, он остался и по нему делают Профиль защиты и ЗБ, а ЗБ уже оценивают.
              Там принципиально изменился анализ уязвимостей, прям от слова "совсем". Если в ГОСТ 15408 на ОУД4 (максимально возможный для негостайны) можно ограничиться code review, то по ФСТЭКовскому документу уде на УД5 (один из низжих) уже требуется как минимум фаззинн. Может даже и статанализ кола, навскидку не помню.

              Соответственно, те разделы утвержденных профилей защиты, в которых описывается анализ уязвимостей (компонент доверия AVA_VAN.*) утратили силу - на эту тему опубликовано информационное сообщение ФСТЭК.

              Обзор проекта профиля через неделю сделаю - в отпуске пока По факту там ОУД4+, с усиленным анализом уязвимостей, примерно соответствующим ФСТЭКовской методичке.

              Комментарий


              • #67
                Сообщение от malotavr Посмотреть сообщение
                Обзор проекта профиля через неделю сделаю
                Это тот что на сайте ТК122 опубликован только для членов ПК1?
                Можно ещё пояснение как именно этот профиль интегрируется в процесс по сертификации, процессы разработки/модернизации ПО и процесс анализа уязвимостей (как в рамках сертификации, так и отдельного процесса по анализу уязвимостей по ОУД4).
                Последний раз редактировалось Zuz; 06.08.2019, 20:02.

                Комментарий


                • #68
                  Сообщение от Zuz Посмотреть сообщение
                  Это тот что на сайте ТК122 опубликован только для членов ПК1?
                  Можно ещё пояснение как именно этот профиль интегрируется в процесс по сертификации, процессы разработки/модернизации ПО и процесс анализа уязвимостей (как в рамках сертификации, так и отдельного процесса по анализу уязвимостей по ОУД4).
                  Постараюсь

                  Комментарий


                  • #69
                    Если кому нужно, могу скинуть документ (пишите в ЛС)

                    Комментарий


                    • #70
                      Сообщение от malotavr Посмотреть сообщение
                      Постараюсь
                      Почитал ПЗ, ранее высказанное вами в блоге мнение про сертификацию "конвертеров" считаю ошибочным, такое ПО вообще в скоуп не попадает. Более того, многие АБС тоже не попадают (как минимум, по 683-П; по 382-П вопрос открытый, хотя там тоже есть натяжки), если они непосредственно не реализуют функциональность связанную с ДБО и подключение к сети Интернет.

                      Комментарий


                      • #71
                        Сообщение от Zuz Посмотреть сообщение
                        Почитал ПЗ, ранее высказанное вами в блоге мнение про сертификацию "конвертеров" считаю ошибочным, такое ПО вообще в скоуп не попадает. Более того, многие АБС тоже не попадают (как минимум, по 683-П; по 382-П вопрос открытый, хотя там тоже есть натяжки), если они непосредственно не реализуют функциональность связанную с ДБО и подключение к сети Интернет.
                        На тот момент еще не было профиля Более того, на тот момент не было даже понятия "платежное приложение", оно введено только в последней редакции ФЗ-161

                        Сейчас в скоуп попадает целиком система, включая железо и системное ПО, и целиком платежное приложение вместе с мобильной ОС. Причем если для сертификации на соответствие профилю еще можно играться границами объекта оценки ("а вот эти функции для нас выполняет ОС, она для нас среда ОО и не колышет"), то уязвимости нужно анализировать для всей совокупности

                        Комментарий


                        • #72
                          Сообщение от malotavr Посмотреть сообщение
                          Сейчас в скоуп попадает целиком система, включая железо и системное ПО, и целиком платежное приложение вместе с мобильной ОС. Причем если для сертификации на соответствие профилю еще можно играться границами объекта оценки ("а вот эти функции для нас выполняет ОС, она для нас среда ОО и не колышет"), то уязвимости нужно анализировать для всей совокупности
                          правильно ли, что:
                          - анализ уязвимостей в Банковском ПО в соотв. в ПЗ, ЗБ - просто не сделать?
                          - "просто анализ" превращается в аналог сертификации / аттестации всей системы? отсюда не понятна, чья зона ответственности - Вендора, Банка, интегратора), и ждать нам очередные "Типовые системы".
                          - это совсем не дешево и быстро выходит?
                          - На сколько мне известно оценку уязвимостей все равно нужно будет делать по новым требования ДСП документа от ФСТЭК + ПЗ (ЗБ).
                          - спецов по ГОСТ Исо-мэк единицы и они в ЦБИ сидят?(:

                          А в блоге все перемещали и дают дезинформацию=(( А потом объясняй заказчикам, что все не так.
                          https://lukatsky.blogspot.com/2019/08/3.html
                          "В 382-П, 683-П, 684-П, а также ГОСТ 57580.1 было требование о том, что платежные приложения должны быть сертифицированы в ФСТЭК по требованиям безопасности или в отношении которых проведен анализ уязвимостей на соответствие ОУД4. Вот собственно требования, по которым должна проходить сертификация, и прописаны в этом почти 150-тистраничном документе, проект которого выложен на сайте ТК122 (доступен только для членов технического комитета по стандартизации). Я не буду раскрывать подробности этого документа, но работа у разработчиков и испытательных лабораторий предстоит непростая и к 1-му января 2020-го года (этот срок прописан, как минимум, в 382-П) они точно не успеют провести сертификацию (там есть и иные препоны, связанные уже с самой системой сертификации ФСТЭК). Поэтому сейчас стоило бы воспользоваться оставшимися пятью месяцами и начал бы проводить анализ уязвимостей по ОУД4 (или требовать этого от разработчиков)."
                          Почему сертификацию делают по требованиям профиля и думают, что есть вариант с уязвимостями по ОУД4.... Хотя сертфикация проводиться по требованиям ФСТЭК, а ГОСТ ИСО МЭК к ФСТЭК не относится.
                          Последний раз редактировалось Cpx; 08.08.2019, 14:45.

                          Комментарий


                          • #73
                            Коллеги, на ОУД4 анализ АБС надо делать или..?
                            Что-то я уже запутался.
                            Вендор ДБО вроде начал двигаться в этом направлении, а вот АБС пока нет.

                            Какими требованиями это (ОУД4 в АБС) регламентировано?

                            Нашел только требования 4.1 из 683-П
                            4.1. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014

                            и 2,5,5,1 из 382-П
                            2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:
                            использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации
                            ГОСТ Р ИСО/МЭК 15408-3-2013 "Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);

                            Комментарий


                            • #74
                              dnebyshe
                              Аналогичная ситуация - ДБО успокоили что все будет (правда не понятно - за какой прайс или бонусом), а в части АБС наш вендор аккуратно слез с темы, переложив эту задачу на Банк.

                              Комментарий


                              • #75
                                dnebyshe
                                Тут писали, что "только ДБО":
                                https://bankir.ru/dom/forum/департам...41#post4851341

                                Комментарий


                                • #76
                                  Сообщение от malotavr Посмотреть сообщение
                                  Сейчас в скоуп попадает целиком система, включая железо и системное ПО
                                  Почему? Везде речь именно о программном обеспечении (в формулировках, где говорится о сертификации и анализе уязвимостей по ГОСТ 15408-3 на ОУД4).
                                  В 382-П есть такое: "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры", но это не относится к требованию абзацем выше, это отдельные мероприятия.
                                  Более того, если внимательно прочитать, то лицензиат ФСТЭК нужен именно для программного обеспечения,, а не для указанных выше мероприятий, в теории, их можно осуществлять самостоятельно без оглядки на ПЗ.

                                  Комментарий


                                  • #77
                                    Сообщение от kirill_1985 Посмотреть сообщение
                                    правда не понятно - за какой прайс или бонусом
                                    очевидно, что за прайс(:
                                    Сообщение от kirill_1985 Посмотреть сообщение
                                    в части АБС наш вендор аккуратно слез с темы, переложив эту задачу на Банк.
                                    Ну Вы сделайте так, чтобы он передумал. Например, пришлите запрос на предоставления исходников заявителю, лаборатории, органу, фстэк для проведение сертификации + запрос на доработку в части функций безопасности. Вряд-ли вендор захочет делиться с такой цепочкой исходниками, цена для банка будет примерно 6-9млн р за сертификацию в зависимости от исходных кодов, и прочих данных.

                                    Комментарий


                                    • #78
                                      Сообщение от Zuz Посмотреть сообщение
                                      если внимательно прочитать, то лицензиат ФСТЭК нужен именно для программного обеспечения,, а не для указанных выше мероприятий, в теории, их можно осуществлять самостоятельно без оглядки на ПЗ
                                      Было все так, пока Профиль не появился, а в нем уже фигурирует лаборатория со всеми вытекающими. Имхоо ЦБ выпустив ПЗ автоматически убил возможность провести анализ уязвимостей ПО силами силами или быстро и просто...
                                      Ситуация более запутанная чем по ЕБС (: В ответ на предложения, можно написать пару ласковых, чтобы поменяли/переформулирвоали требования 2.5.5.1.
                                      Мне кажется, ЦБ не понимает в какие затраты это выйдет рынку... ЕБС в сравнении капля в море. Ведь все выпускаемые обновления необходимо прогонять через требования ИБ, иначе нарушение автоматом...

                                      Комментарий


                                      • #79
                                        Сообщение от Cpx Посмотреть сообщение
                                        автоматически убил возможность провести анализ уязвимостей ПО силами силами или быстро и просто...
                                        Формулировки 382-П процитированные мной, никак не связаны с анализом уязвимостей по ОУД4 и сертификацией, этот пункт про тестирование на проникновение и анализ уязвимостей всех объектов инфраструктуры (платёжной). Что там написано в ПЗ не важно, он относится к другому пункту, который говорит про сертификацию и анализ уязвимостей именно ПО.

                                        Комментарий


                                        • #80
                                          Сообщение от Airat_Kzn Посмотреть сообщение
                                          dnebyshe
                                          Тут писали, что "только ДБО":
                                          https://bankir.ru/dom/forum/департам...41#post4851341
                                          ТО что "тут" для аудиторов или проверки ЦБ - непрокатит.
                                          Только ФЗ, только хардкор.

                                          Комментарий


                                          • #81
                                            Сообщение от Zuz Посмотреть сообщение
                                            Почему? Везде речь именно о программном обеспечении (в формулировках, где говорится о сертификации и анализе уязвимостей по ГОСТ 15408-3 на ОУД4).
                                            В 382-П есть такое: "ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры", но это не относится к требованию абзацем выше, это отдельные мероприятия.
                                            Более того, если внимательно прочитать, то лицензиат ФСТЭК нужен именно для программного обеспечения,, а не для указанных выше мероприятий, в теории, их можно осуществлять самостоятельно без оглядки на ПЗ.
                                            Оценивается не объект оценки, а функциональность бещопасности объекта оценки. А она в профиле определена как "свокупность функций обеспечения информационной безопасности всего аппаратного, программного и программно-аппаратного обеспечения ОО обеспечивающих компонентов ППО АС, которые необходимо использовать для корректной реализации ФТБ."

                                            Если простым языком, то функции безопасности и уязвимости в них должны оцениваться доя системы в целом.

                                            Комментарий


                                            • #82
                                              Сообщение от Cpx Посмотреть сообщение
                                              Было все так, пока Профиль не появился, а в нем уже фигурирует лаборатория со всеми вытекающими. Имхоо ЦБ выпустив ПЗ автоматически убил возможность провести анализ уязвимостей ПО силами силами или быстро и просто...
                                              Ситуация более запутанная чем по ЕБС (: В ответ на предложения, можно написать пару ласковых, чтобы поменяли/переформулирвоали требования 2.5.5.1.
                                              Мне кажется, ЦБ не понимает в какие затраты это выйдет рынку... ЕБС в сравнении капля в море. Ведь все выпускаемые обновления необходимо прогонять через требования ИБ, иначе нарушение автоматом...
                                              Здесь имеется в виду не аккредитованная испытательная лаборатория, а evaluator - тот, кто проводит оценку. Просто профиль писали люди из системы сертификации, вот и скопипастили неудачный аналог из ФСТЭКовских профилей

                                              Комментарий


                                              • #83
                                                Сообщение от malotavr Посмотреть сообщение
                                                Оценивается не объект оценки, а функциональность бещопасности объекта оценки.
                                                А от куда это следует? То, что есть требования к ФБО, ИМХО, не означает, что не оценивается требования к ОО: "В данном разделе ПЗ представлены функциональные требования и требования доверия, которым должен удовлетворять ОО."

                                                И там по тексту одно сокращение и одно определение:
                                                ФБО – функциональные возможности безопасности объекта оценки
                                                Функциональность безопасности ОО (ФБО) Совокупность функций обеспечения информационной безопасности всего аппаратного, программного и программно-аппаратного обеспечения ОО обеспечивающих компонентов ППО АС, которые необходимо использовать для корректной реализации ФТБ.
                                                В разделе 7 судя по контексту применяется первое, а не второе (там то это "оно", то "они" голову сломаешь).

                                                Сообщение от malotavr Посмотреть сообщение
                                                А она в профиле определена как "свокупность функций обеспечения информационной безопасности всего аппаратного, программного и программно-аппаратного обеспечения ОО обеспечивающих компонентов ППО АС, которые необходимо использовать для корректной реализации ФТБ."
                                                Интересно, что в ОО не включены все эти штуки:
                                                "2.3.2. Тип объекта оценки
                                                Программное обеспечение автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций (ПО АС ФО).
                                                Совместимыми объектами оценки для данного профиля является программное обеспечение автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций, предназначенное для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы), а также на мобильных устройствах (ноутбуки, смартфоны, планшеты, телефоны и иные).
                                                2.3.3. Доступные аппаратные средства, программное обеспечение, программно-аппаратные средства, не входящие в объект оценки
                                                В рамках настоящего ПЗ аппаратные средства, программное обеспечение, программно-аппаратные средства, не входящие в ОО, не рассматриваются."


                                                Почитал требования всё же там явно про функции ПО ОО, а не про аппаратное, программное и программно-аппаратное обеспечение ОО обеспечивающих компонентов ППО АС.

                                                В целом, требования то не сложные, скоуп бы поточнее.

                                                Комментарий


                                                • #84
                                                  Сообщение от Zuz Посмотреть сообщение
                                                  В целом, требования то не сложные
                                                  Т.е. любой лицензиат ФСТЭК будет за большие деньги выдавать банку бумажку, что его АБС выполняет эти требования - в день АБС допиливается банком раз 10, т.е. 10 бумажек?

                                                  АРМ КБР-Н за месяц раза 3 обновил ЦБ - тоже бумажки будет получать подобные?

                                                  Комментарий


                                                  • #85
                                                    Сообщение от dnebyshe Посмотреть сообщение
                                                    ТО что "тут" для аудиторов или проверки ЦБ - непрокатит.
                                                    Нам проще, у нас есть адресный ответ из ЦБ, в котором написано "только ДБО". Пишите письма.
                                                    Ктоме того в 683-П формулировка уточнена...

                                                    Комментарий


                                                    • #86
                                                      Сообщение от Александр Четвертый Посмотреть сообщение
                                                      Т.е. любой лицензиат ФСТЭК будет за большие деньги выдавать банку бумажку, что его АБС выполняет эти требования - в день АБС допиливается банком раз 10, т.е. 10 бумажек?
                                                      Если детали опустить то именно так.
                                                      Поэтому проще сертифицировать и все обновления копить за квартал и после отдавать на проверку в установленном порядке и выдавать банку через защищенный способ доставки обновлений. Очевидно это сделать должен (и сможет только он) вендор АБС и продавать банкам сертифицированную версию и подписку на обновления. Это будет дешевле постоянных анализов уязвимостей.

                                                      Комментарий


                                                      • #87
                                                        Сообщение от Cpx Посмотреть сообщение
                                                        Поэтому проще сертифицировать и все обновления копить за квартал и после отдавать на проверку в установленном порядке и выдавать банку через защищенный способ доставки обновлений.
                                                        Серьезно, проще? Я скажу вам как все будет в реальности: перед проверкой будут получать бумажку, после чего миллион версий без бумажки, и снова версия с бумажкой для проверки.

                                                        Комментарий


                                                        • #88

                                                          Комментарий


                                                          • #89
                                                            Сообщение от Александр Четвертый Посмотреть сообщение
                                                            Серьезно, проще? Я скажу вам как все будет в реальности: перед проверкой будут получать бумажку, после чего миллион версий без бумажки, и снова версия с бумажкой для проверки.
                                                            В реальности, разработать ЗБ на базе ПЗ и получить бумажку займет 2-4 месяца (если все исходные данные есть для работы). И по цене вижу ценник от 1 млнр за итерацию.
                                                            Поэтому проще один раз купить нормальную сертифицированную версию и снять все риски и не бегать как ошпаренный перед проверкой и во время ее.
                                                            .

                                                            Комментарий


                                                            • #90
                                                              Сообщение от Александр Четвертый Посмотреть сообщение
                                                              что его АБС выполняет эти требования
                                                              Я говорил о самих требованиях, они разумные (все ещё не смотрел, но наискосок норм, с падежами и склонениями там только вопросы), толк от их реализации есть (при разработке такого ПО), выполнять их нужно разработчику. Как будет организован вопрос сертификации / оценки уязвимостей в рамках жизненного цикла такого объекта мне пока неведомо.
                                                              Читаем 382-П: "2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:". Про модернизацию тут нет ни слова. Т.е. подразумевается, что вводят в эксплуатацию вновь созданный объект каждый раз, старый выводят из эксплуатации.

                                                              Сообщение от Cpx Посмотреть сообщение
                                                              Поэтому проще сертифицировать и все обновления копить за квартал и после отдавать на проверку в установленном порядке и выдавать банку через защищенный способ доставки обновлений. Очевидно это сделать должен (и сможет только он) вендор АБС и продавать банкам сертифицированную версию и подписку на обновления. Это будет дешевле постоянных анализов уязвимостей.
                                                              Да, это один из вариантов. С сертифицированными версиями ОС же как-то решили проблему. Если организован цикл разработки с постоянным контролем требований ПЗ, наверное это не будет ничем отличаться от того, что сейчас происходит и без сертификации. Вопрос сколько будет задержка на все нужные проверки и сколько это добавит к стоимости.

                                                              Сообщение от Александр Четвертый Посмотреть сообщение
                                                              Я скажу вам как все будет в реальности: перед проверкой будут получать бумажку, после чего миллион версий без бумажки, и снова версия с бумажкой для проверки.
                                                              Тоже вариант, это же просто один из бизнес-рисков, что дешевле, то и выберет бизнес.

                                                              Сообщение от Cpx Посмотреть сообщение
                                                              Поэтому проще один раз купить нормальную сертифицированную версию и снять все риски и не бегать как ошпаренный перед проверкой и во время ее.
                                                              Но ПО на месте же не стоит, развивается. Поэтому в какой-то момент бизнес-потребности перевесят риски и потребуется установить не сертифицированную версию или версию, где не проведена оценка уязвимостей.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X