Стандарты и руководства по проектированию безопасности
Стандарты и руководства по проектированию безопасности
В комплексных приложениях бывает необходимо сопоставлять условия фактического проекта и спецификации безопасности аппаратного или программного обеспечения поставщика. Этот раздел может быть опущен, если достаточно раздела " Архитектура безопасности ". С другой стороны, для оценки уровня квалификации поставщика могут изучаться процессы разработки программного обеспечения, схемы классификации информации и выполняться аудит кодов. Организация обычно предъявляет требования функциональной совместимости с рядом стандартов. Чем больше технология поставщика соответствует стандартам, тем легче выполняется интеграция и настройка на требования заказчика. В предложениях поставщик должен указать, поддерживает ли его решение такие открытые стандарты, как PKIX, X.509.v2, X.509.v3, OCSP, X.500, PKCS и криптографические алгоритмы RSA, ECC, DES, 3DES, RC4, AES, MD5, SHA-1 и др.
Недостаточно просто адаптировать технологию, которая "базируется" на стандартах, особенно когда используется множество стандартов и протоколов. Например, сертификаты и информация об их аннулировании могут распространяться разными способами, кросс-сертификация может быть реализована в онлайновых и автономных операциях и т.д. Организации важно иметь гарантии, что технология удовлетворяет ее требованиям, и при выборе ориентироваться на тот продукт, поставщик которого способен и сейчас, и в будущем настраивать или дорабатывать его с учетом потребностей заказчика. Таким образом, от поставщиков требуется предложить несколько решений, которые базируются на практике и стандартах, широко применяемых в отрасли.