В завершение цикла статей о выборе сертифицированной операционной системы (Часть 1 и Часть 2) я подготовил для вас короткий чек-лист, который позволит любому желающему подобрать для себя качественную и безопасную ОС, для того, чтобы пройти этот нелегкий путь импортозамещения и обеспечить полноценную работу в ней на долгие годы вперед.
Правила работы с чек-листом очень просты — чем больше положительных ответов, тем более предпочтительной будет для вас операционная система.
|
№ |
Вопрос |
Ответ |
Комментарий |
|
1. |
ОС имеет сертификат соответствия требованиям безопасности? |
|
Если ответ «Нет», то прочитать статью «Безопасность корпоративных операционных систем: на что обращать внимание при выборе несертифицированной ОС на российском рынке» (выйдет чуть позже, на месте этого текста появится ссылка) и использовать чек-лист для выбора несертифицированных ОС |
|
2. |
Есть ли уникальные функциональные возможности (по сравнению с конкурентами), способствующие более защищенной работе в системе и (или) способствующие повышенному комфорту при использовании системы? |
|
|
|
3. |
Минорные обновления ОС выходят не реже одного раза в 6 месяцев? |
|
|
|
4. |
Минорные обновления ОС содержат информацию об устранении только новых уязвимостей (уязвимость, опубликованная в открытых источниках менее одного года назад)? |
|
|
|
4.1. |
Старых уязвимостей менее 5% от числа устраненных в минорном обновлении? |
|
Рассматривается, если ответ на вопрос № 4 отрицательный |
|
5. |
Критичность устраняемых в минорном обновлении ОС уязвимостей соответствует следующему распределению: 25% критических уязвимостей (CVSS > 7.0) на 75% некритических уязвимостей (CVSS < 7.0) ± 10%? |
|
|
|
6. |
Вендор публикует в открытых источниках информацию об устраненных уязвимостях в ОС пакетом минорных или мажорных обновлений? |
|
|
|
7. |
Есть ли в открытых источниках информация о проводимых исследованиях безопасности ОС и их результатах (обнаружение ZeroDay-уязвимостей, ошибок функционирвоания)? |
|
|
|
7.1. |
Есть ли у вендора сотрудники, исследующие безопасность ОС (AppSec)? |
|
Рассматривается, если ответ на вопрос № 7 отрицательный |
|
7.2. |
Штат исследователей (AppSec) больше 10 человек? |
|
Рассматривается, если ответ на вопрос № 7 отрицательный |
|
7.3. |
Какое количество ZeroDay-уязвимостей и ошибок функционирования было найдено за предыдущий год? |
|
Рассматривается, если ответ на вопрос № 7 отрицательный. Правильного ответа на этот вопрос нет. Чем больше будет число, тем лучше |
|
8. |
У вендора есть квалифицированная техническая поддержка, «реально» работающая 24/7/365? |
|
|
|
9. |
Какой срок поддержки мажорной версии ОС (срок программных обновлений безопасности мажорной версии)? |
|
Правильного ответа на этот вопрос нет. Чем больше будет число, тем лучше |
|
10. |
Есть ли возможность бесшовной миграции с предыдущей мажорной версии ОС на следующую без потери пользовательских данных и функциональности программ? |
|
|
Всем большое спасибо за то, что дочитали до конца данную трилогию. Надеюсь, что информация приведенная в данных статьях поможет сотрудникам, выполняющим задачу по импортозамещению, подобрать для своей компании надежную, качественную и безопасную ОС!
ссылка на оригинал статьи https://habr.com/ru/articles/824710/
Добавить комментарий