Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК / Хабр

Код проверяли буквально по строчкам: как наш межсетевой экран проходил сертификацию ФСТЭК / Хабр Сертификаты

Основные преимущества java сертификации

Перечислим основные преимущества профессиональных сертификаций для Java кодеров.

Прежде всего, наличие сертификата может помочь выделиться в глазах нанимателей и рекрутеров среди других кандидатов с такими же навыками и тем же уровнем опыта. А это бывает очень полезно, особенно для начинающих Java разработчиков, претендующих на позиции с большой конкуренцией среди соискателей.

В таких случаях любые методы, помогающие оставить конкурентов позади, будут хороши (в рамках приличий и этики конечно).

В такой ситуации наличие сертификации может дать вам целый ряд небольших, но ощутимых бонусов. Так, сертификация служит дополнительным доказательством того, что вы действительно обладаете указанными техническими навыками, а не просто добавили их в резюме для солидности.

Ну а подготовка к экзамену, который предшествует получению любой сертификации, поможет понять и закрепить в памяти все основные особенности этих технологий.

Помимо этого, наличие сертификации может избавить вас от необходимости проходить тестовые задания по данной технологии в ходе собеседования, а это всегда плюс, так как позволяет сохранить время и нервы.

Ну и наконец Java сертификация может хоть и не сильно, но повысить уровень предлагаемой зарплаты и увеличить шансы на продвижение по карьерной лестнице в ближайшем будущем.

Не говоря уже о том, что таким образом можно укрепить уверенность в своей квалификации в качестве Java-программиста, да и просто повысить ЧСВ, а это всегда приятно.

Как поймать то, чего нет. часть пятая, дробь два: что нужно знать для покупки сертифицированного продукта. чаво

Как это ни грустно, и что бы мы ни думали о возможности неиспользования сертифицированных средств защиты, но ситуация практически полностью совпадает с известным подходом: «Вы не согласны с результатами проверки? Ваше право! А пока мы заблокируем ваши счета». Поэтому рано или поздно (а для государственных органов и компаний, которым требуется обеспечить защиту гостайны — всегда) приходится обращаться к вендорам за соответствующим ПО. И тут начинается самое интересное.

Как вы думаете, что у нас просят? Для тех, кто сталкивался, ответ загадкой не является: «Нам нужен сертифицированный продукт». Для тех, кто не в курсе, такой запрос фактически соответствует знаменитому анекдоту: «Петька, прибор! 45! Что 45? А что прибор?»

Но не будем жаловаться! Вашему вниманию предлагается список типичных граблей, на которые наступают заказчики, желающие использовать сертифицированные антивирусные средства.

Внимание! Несмотря на то, что правила сертификации, поставки и обслуживания одинаковы для всех компаний, действующих на рынке, возможны мелкие вариации в составе сертифицированных версий, уровне сертификации и т. д. В связи с этим везде, где упоминаются конкретные случаи, указывается наименование компании. Дело в том, что поставка сертифицированных продуктов возможна только в коробке и соответственно автор пощупать руками все коробки всех поставщиков был не в состоянии. Если Хабражители обнаружат ошибку или укажут на иной подход для какой-то компании, соответствующие исправления будут с благодарностью приняты и внесены в статью.

Нам нужен сертифицированный продукт!

К сожалению, поставщику это ничего не говорит. У «Доктор Веб» сертифицирована вся линейка (http://company.drweb.ru/licenses_and_certificates/?lng=ru), у «Лаборатории Касперского» – отдельные продукты (http://www.kaspersky.ru/about/why/certificates/certificates-government), у остальных вендоров, как правило, сертифицируется один, наиболее продаваемый, продукт. «Доктор Веб» сертифицирует все продукты по максимальному уровню, у Лаборатории Касперского для разных продуктов сертификация происходит на различные уровни, остальные вендоры сертифицируют продукты по минимально требуемому уровню. И так далее.

Какую информацию в результате должен предоставить поставщику клиент, чтобы не промахнуться (поставщик-то поставить может все, что угодно, но вряд ли клиент обрадуется, когда в ходе развертывания поймет, что купленный им продукт не работает)?

  1. Тип сертификата. По каким требованиям должен быть сертифицирован продукт — ФСТЭК, ФСБ, МО, 1С, Газпром и т. д. Достаточно часто заказчики сами не определились, какие сертификаты им нужны. А разница весьма существенна. Скажем, сертифицированные для МО и по требованиям ФСТЭК продукты вполне могут не совпасть по системным требованиям и по требованиям систем сертификации. В системе сертификации МО сертификация осуществляется в том числе и на соответствие реальных и декларируемых в документации функциональных возможностей.
  2. Уровень защиты. Для разных сертификатов уровни разные. Если требуется продукт, сертифицированный по ФСТЭК, то в большинстве случаев достаточно назвать уровень секретности: совершенно секретно, ДСП и т. д. Достаточно часто заказчики не следят за изменением законодательства и называют отмененные уровни – скажем, для персональных данных просят сертифицированные продукты для первого класса.
  3. Что нужно защитить. Рабочие станции, файловые серверы, почтовые серверы, шлюзы – мы не шаманы и не можем угадать состав сети заказчика. Достаточно часто нам говорят: вы нам предложите, а мы сами разберемся. Почему-то заказчики считают, что все варианты защиты можно изложить в презентации на 20 минут максимум. Не получится. В результате после долгих мучений вдруг выясняется, что у заказчика (например) используется достаточно редкий почтовый сервер или операционная система – и как мы об этом можем догадаться?
  4. Операционная система, название почтового сервера, шлюза (с битностью, сервиспаками и т. д.). О проблемах, которые в этом отношении вызвали Профили защиты, мы еще поговорим, пока лишь скажем, что зачастую используются устаревшие операционные системы, которые уже никто не поддерживает. DOS, NT4, старые версии Линукс и т. д.
    Так, ОС МСВС 3.0 имеет ряд сборок, сильно отличающихся по используемым компонентам (в том числе ядром, библиотекой glibc и версией Squid), но версия ОС – одна и та же. Поэтому перед покупкой или поставкой продукта необходимо убедиться в совместимости решений компании «Доктор Веб» с ОС МСВС 3.0. Список поддерживаемых версий ОС МСВС 3.0 находится в документации по продуктам.
  5. Использование сертифицированных версий операционных систем, шлюзов почтовых серверов и т. д. К сожалению, не все компании, которые разрабатывают и сертифицируют ПО, работают с производителями софта, который потом будет устанавливаться на это сертифицированное ПО. Нет какого-то компонента – и все, до ближайшего инспекционного контроля ничего поделать нельзя. А инспекционный контроль недешев и небыстр.
  6. Использование средств, ограничивающих работу ПО. Доверенная загрузка, мандатный доступ, запрет на запуск кода из области данных – если что-либо из этого списка используется, обязательно указывайте! Скажем, сейчас достаточно часто используют доверенную загрузку. Но МО не определило в своих требованиях ее использование. В результате в сертификате о возможности работы при ее использовании – ни слова. И что делать заказчику?

А у вас есть продукт, сертифицированный под требования 152-ФЗ?

Наипопулярнейший вопрос, которым в свое время начинался, продолжался и заканчивался рабочий день.

Федеральный закон 152-ФЗ не содержит требований к продуктам и поэтому продукт сертифицировать на соответствие этому закону нельзя! Миф запустила компания Eset. Компания «Лаборатория Касперского» мгновенно выпустила опровержение. Аналогично поступил и «Доктор Веб». Но миф уже зажил своей жизнью. В результате всем компаниям прошлось получать письма от ФСТЭК, что такой-то продукт может использоваться… вплоть до К1.

Сейчас поток таких запросов сошел на нет, но я включил вопрос в список в качестве примера того, как просто создаются мифы.

Про сертификаты:  Положения по мероприятиям Всероссийской акции «Россия – территория «Эколят – Молодых защитников Природы» – Природоохранные социально-образовательные проекты «Эколята-дошколята», «Эколята» и «Молодые защитники природы»

Как узнать о наличии сертифицированных решений?

Полный список сертифицированных решений размещается на сайте сертифицирующей организации. Так, для Федеральной службы по техническому и экспортному контролю (ФСТЭК России) список находится в разделе «Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации» (http://my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii).

Почему вашего продукта нет в реестре?

В реестр ФСТЭК о сертифицированных СЗИ информацию вносят раз в три месяца. Скажем, следующее обновление информации о сертифицированных СЗИ будет в декабре. Таким образом, если компания получает сертификат или продлевает его – информация об этом событии может официально отсутствовать до трех месяцев.

Хочу сертифицированную версию!/Почему у вас в релизе продукт версии ххх, а сертифицирован yyy?

Сертификация – вещь не только весьма дорогая, но и весьма длительная. Для получения основных сертификатов — ФСТЭК и ФСБ – требуется никак не менее полугода. А то и восемь месяцев. При этом завершение сертификации еще не означает, что сам сертификат появится в компании, – на это тоже требуется время. Бюрократия-с.

Зачастую сертификация продукта заканчивается тогда, когда подходит к концу разработка следующей, гораздо более функциональной и эффективной версии. В итоге вполне возможна ситуация, когда пользователи сертифицированной версии получают меньшую защищенность, чем с несертифицированной версией.

Почему у вас на сайте нет сертификата для МО?

Сертификаты МО РФ не размещаются на сайте в связи с тем, что имеют статус документов ДСП. Заверенные копии этих сертификатов предоставляются по официальному запросу.

А мы нашли уязвимость! Хотим обновленную версию!

Выпуск обновленной сертифицированной версии возможен только через процедуру Инспекционного контроля. По срокам это примерно месяца три и тоже стоит немалых денег. Поэтому Инспекционный контроль в жизни сертифицированного продукта – вещь нечастая.

В свое время ФСТЭК разработала проект приказа по процедуре обновления сертифицированных продуктов, теоретически позволявших упростить эту процедуру. Но уровень проблем, привносимых документом, видимо, удивил даже привычных к нашей нормативке специалистов.

Хочу одновременно сертификат ФСТЭК и ФСБ!

Естественно, на сертификацию уходят одни и те же продукты, но есть нюансы. Скажем, продукты, сертифицированные по требованиям ФСТЭК, может поставлять практически любая компания, а обновляются они с обычных зон обновления, контролируемых вендором. А в случае ФСБ по всем вопросам, касающимся получения и обслуживания сертифицированных версий продуктов, необходимо обращаться в в/ч 43753. Правда, не так давно поставщики и в частности компания «Доктор Веб» смогли договориться о поставке через вендоров. Так, обновление сертифицированных по требованиям ФСБ продуктов, если клиент стал абонентом их портала, идет через специальные зоны, контролируемые ФСБ (если клиент купил сертифицированное ПО и не прошел процедуру согласования по обслуживанию ПО, то обновления идут с зоны вендора).

Как купить сертифицированную версию?

В случае «Доктор Веб» сертифицированные по требованиям ФСТЭК России продукты можно приобрести через авторизованных партнеров ( partners.drweb.ru/?lng=ru) компании-разработчика или через интернет-магазин ( estore.drweb.ru/home/?lng=ru). В случае «Лаборатории Касперского» приобретение возможно через партнеров ( www.kaspersky.ru/products/business/certified-version).

Сертифицированные по требованиям ФСБ России/МО РФ продукты могут поставляться вендором напрямую в рамках централизованных поставок.

Я купил сертифицированную версию, где скачать дистрибутив?

Нигде. Сертифицированные версии в интернет не выкладываются. В случае «Доктор Веб» (у иных вендоров могут быть иные правила) сама лицензия не отличается для сертифицированных и несертифицированных версий продуктов. Но, поскольку распространение в электронном виде невозможно (в случае версий под ФСТЭК – из-за того, что в комплект должна входить голографическая наклейка), в дополнение к лицензии нужно еще купить коробку с дистрибутивом и входящими в комплект документами.

Я хочу попробовать сертифицированный продукт!

Увы. В связи с проблемами, описанными в предыдущем вопросе, – официально попробовать продукт можно только купив коробку. Сама демолицензия, естественно, бесплатна. Коробку бесплатно поставить нельзя, так как это материальный носитель и бухгалтерия не поймет.

А что входит в коробку?

Комплект поставки сертифицированного по требованиям ФСТЭК или ФСБ ПО (в случае компании «Доктор Веб») включает:

Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации.

Поскольку качество клеящего слоя голографической наклейки не дает гарантии, что она удержится на диске в процессе его эксплуатации в CD/DVD-приводе, а отслоение наклейки может привести к различным негативным последствиям, вплоть до отказа оборудования, то она наклеивается на формуляр, что согласовано со ФСТЭК России.

Эталонные значения контрольных сумм сертифицированных версий Dr.Web заявлены в формулярах на соответствующие продукты и в открытом доступе не публикуются. Подсчет контрольных сумм осуществляется с помощью программы фиксации и контроля исходного состояния программного комплекса «Фикс» (версия 2.0.1), алгоритм «Уровень-1».

Для «Лаборатории Касперского» описание состава поставки более краткое, но в целом отличаться от аналогичной поставки «Доктор Веб» не может в силу единства правил игры ( www.kaspersky.ru/products/business/certified-version)

В случае поставки ПО, сертифицированного для МО РФ в состав поставки входят:

Может ли сертифицированное ПО обновляться?

Сами обновления производятся со специально созданных областей.

Внимание! На сертифицированное ПО нельзя устанавливать несертифицированные обновления.

Пользователь сертифицированных версий может получать обновления безопасности как автоматически, так и на CD-дисках, содержащих сертифицированные обновления (гусары, знающие примеры такого обновления в очень крупных структурах — молчать!).

Наш антивирус установлен внутри сети и не имеет выхода в интернет. Как получать обновления?

Официально – только установив снаружи сети антивирусный продукт и перенеся внутрь обновления вручную. На практике возможны варианты – вплоть до отправки баз по почте и с помощью фельдъегерской службы.

Сертифицирован ли входящий в состав вашего антивируса файрвол на соответствие соответствующим Профилям?

Профили для межсетевых экранов, разработанные ФСТЭК России ( my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty), описывают функционал только межсетевых экранов корпоративного уровня, устанавливаемых на границе сети. Персональные файрволы, входящие в антивирусные продукты, под действие этих профилей не попадают и сертифицируются в составе антивирусных решений – и таким образом могут использоваться в качестве сертифицированных.

Могу ли я купить и использовать продукт, срок действия сертификата которого истек?

Вы можете купить любую версию продукта, в случае наличия коробок на складе. А вот официально использовать согласно правилам – нет.

В связи с тем, что на данный момент действуют так называемые «Профили антивирусной защиты», можно ли использовать продукты, ранее сертифицированные по ТУ и НДВ?

Согласно приказу ФСТЭК №240/24/3095 от 30 июля 2021 г., с 1 августа 2021 г. для антивирусного ПО устанавливается необходимость соответствия «Требованиям к средствам антивирусной защиты» (приказ ФСТЭК №28 от 20 марта 2021 г.) и утвержденным 14 июля 2021 г. «Профилям антивирусной защиты». Размещены Профили для четвертого, пятого и шестого классов на странице my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/470-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2021-g-2. Профили первого, второго и третьего классов в открытый доступ нес выкладываются.

Вместе с этим вводится новая классификация сертифицированных антивирусных программных продуктов: по назначению (А-Г) и уровню защищенности (6-1).

До этого момента никаких требований к антивирусам не существовало, и они сертифицировались на ТУ (технические условия) и НДВ (отсутствие недекларированных возможностей).

Согласно письму ФСТЭК, продукты, созданные ранее выхода профилей и имеющие сертификаты ФСТЭК (а тем более ФСБ и МО, которых приказ не касается), сохраняют свою легитимность.

Что такое сертифицированное ПО?

Сертифицированным программным обеспечением является:

  • ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации, что подтверждается Сертификатом соответствия.
    ПО сертифицируется на соответствие техническим документам (РД, ТУ и т. д.) и в соответствии с параметрами, указанными в этой документации. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России, МО России и ФСБ России.
  • ПО, дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре) и (для ФСТЭК) специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
  • ПО, установленное и настроенное в соответствии с сертифицированными параметрами.
  • ПО, все доработки (обновления) которого, критичные для безопасности, также подвергаются сертификационным испытаниям, до предоставления их пользователю. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
    Честно скажем, что для антивируса это фантастика – естественно, обновления баз (которые, кстати, и сами по себе не сертифицируются) никто сертификационным испытаниям не подвергает. Ибо делать такую процедуру для выходящих до трех раз в час обновлений нереально.
  • ПО, контролируемое в процессе эксплуатации.
    Сертифицированное ПО должно иметь встроенные или наложенные средства, предназначенные для выполнения требований в области контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм.
  • ПО, каждый сертифицированный экземпляр которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ представителей органов, осуществляющих контроль за сертифицированными средствами защиты, к учетной информации.
Про сертификаты:  Аттестация/сертификация сварщиков в соответствии с ISO 9606 и ISO 14732 - Форум сварщиков Вебсварка

Таким образом, сертифицированным программным обеспечением является ПО, ранее прошедшее сертификацию, установленное, настроенное и сопровождаемое в соответствии с требованиями, также прошедшими сертификацию.

Применение сертифицированных средств защиты само по себе не является достаточным условием выполнения требований по безопасности конфиденциальных данных, необходимо также:

Можно ли самостоятельно сертифицировать ПО?

Можно самостоятельно сертифицировать любое выбранное СЗИ, удовлетворяющее требованиям РД. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации, (Приказом Председателя Гостехкомиссии России № 199 от 27.10.1995), необходимо в роли Заявителя согласовать со ФСТЭК России ЗБ, ТУ или иной определяющий требования к СЗИ документ, предоставить в Испытательную лабораторию комплект необходимой конструкторской и эксплуатационной документации, образец СЗИ, оплатить все расходы по сертификации. При этом Заявитель должен быть лицензиатом ФСТЭК и (или) ФСБ России на деятельность по разработке и производству СЗИ.

Естественно, данный список вопросов не является полным. Достаточно много вопросов связано, например, с использованием ОС Astra Linux. Но наиболее часто спрашивают именно это.

Традиционного итога подводить не буду. Единственное, что хочу сказать:

  • подготавливая запрос вендору или поставщику по сертифицированным продуктам, предоставляйте как можно более полную информацию о том, где и как вы собираетесь их применять. Нюансов тут очень много;
  • помните, что поставщик осуществит поставку в соответствии с вашими требованиями. И если окажется, что вы запросили не то, то проблемы будут на вашей стороне;
  • заранее планируйте процедуру обновления сертифицированных продуктов. Случаи, когда к поставщику приходят за антивирусным решением в момент, когда уже все спроектировано – нередки. И не единичны случаи, когда на стороне заказчика до этого момента вопросы развертывания, обновления и управления ПО не рассматривались вовсе;
  • помните, что сертифицированное ПО — по умолчанию устаревшее. Возможно, имеющее известные уязвимости.

Oracle certified associate java programmer (ocajp) — java se 11 programmer i

Имеется у Oracle и вариант сертификации для версии Java Standard Edition 11. Последовательность шагов та же, что и в случае с Java SE 8 — учим теорию до среднего уровня, потом сдаем экзамен.

Стоимость экзамена:

US$150

Темы вопросов на экзамене:

  • Применение инкапсуляции
  • Создание и использование методов
  • Создание простых программ на Java
  • Описание и использование объектов и классов
  • Обработка исключений
  • Технология Java и среда разработки Java
  • Абстрактные классы и интерфейсы
  • Повторное использование реализаций и наследование
  • Понимание модулей
  • Использование операторов и управляющих конструкций
  • Работа с массивами Java
  • Работа с примитивными типами Java и обработка строк

Кодовый номер экзамена:

1Z0-815

Продолжительность:

180 минут

Проходной результат:

63%

Требования к наличию сертификаций:

не требуется.

Количество вопросов в экзамене:Тип вопросов:

выбор вариантов ответа.

Страница экзамена:Java сертификации: какие бывают, как получить и стоит ли заморачиваться? - 3

Oracle certified associate java programmer (ocajp) — java se 8 programmer i

Первый, самый базовый уровень сертификации Java, для версии Java SE 8, предлагаемый Oracle. Охватывает все основные понятия Java-программирования, помогает упрочить понимание фундаментальных аспектов Java, а также расширить знания программирования в целом.

Получение сертификации OCAJP будет первым этапом и точкой отсчета для тех, кто желает “прокачаться”, добавив к своему резюме официальные сертификации. Наличие OCAJP показывает, что у программиста есть все необходимые навыки, чтобы стать экспертом в разработке Java (ну, по крайней мере в теории).

Oracle certified master java enterprise architect (ocmjea)

Oracle Certified Master Java Enterprise Architect (OCMJEA) — это наиболее престижная из сертификаций Java от Oracle. Ее наличие говорит о том, что у разработчика есть все необходимые навыки и знания в Java для реализации полномасштабных проектов по созданию приложений — от начальных стадий до запуска и поддержки.

Oracle certified professional java application developer (ocpjad) — java ee 7

Сертификация Oracle Certified Professional Java EE 7 Application Developer подтверждает способность программиста разрабатывать и развертывать приложения с использованием Java Enterprise Edition 7. OCPJAD хорошо подходит для фронтенд и бэкенд-разработчиков и архитекторов приложений, с как минимум средними или продвинутыми навыками использования Java EE 7. Чтобы пройти эту сертификацию, нужно сначала получить OCAJP.

Стоимость экзамена:

US$150

Темы вопросов на экзамене:

  • Пакетный API
  • CDI Beans
  • Параллелизм
  • Создание приложений Java с использованием WebSockets
  • Создание веб-приложений Java с использованием JSP
  • Разработка веб-приложений на Java с использованием сервлетов
  • Разработка веб-приложений с использованием JSF
  • Внедрение бизнес-логики с использованием EJB
  • Выполнение REST-сервисов с использованием JAX-RS API
  • Реализация сервисов SOAP с использованием API-интерфейсов JAX-WS и JAXB
  • Архитектура Java EE 7
  • Безопасность Java EE 7
  • API мессенджеров Java
  • Управление постоянством с использованием сущностей JPA и BeanValidation

Кодовый номер экзамена:

1Z0-900

Продолжительность:

150 минут

Проходной результат:

66%

Требования к наличию сертификаций:

OCAJP

Количество вопросов в экзамене:Тип вопросов:

выбор вариантов ответа.

Страница экзамена:

Oracle certified professional java programmer (ocpjp) — java se 11 programmer ii

Второй, профессиональный уровень сертификации для версии для версии Java Standard Edition 11. Требуется наличие первого уровня сертификации OCAJP.

Стоимость экзамена:

US$150

Темы вопросов на экзамене:

  • Аннотации в Java
  • Встроенные функциональные интерфейсы
  • Параллелизм в Java
  • Создание приложений базы данных с JDBC
  • Исключения и утверждения
  • Функциональные интерфейсы и лямбда-выражения в Java
  • Дженерики и Коллекции
  • IO (основы и NIO.2)
  • Основы Java
  • Java-интерфейсы
  • API Java Stream
  • Лямбда-операции на потоках
  • Локализация
  • Миграция в модульное приложение
  • Безопасный кодинг в приложении Java SE
  • Услуги в модульном приложении

Кодовый номер экзамена:

1Z0-816

Продолжительность:

180 минут

Проходной результат:

63%

Требования к наличию сертификаций:

OCAJP 11

Количество вопросов в экзамене:Тип вопросов:

выбор вариантов ответа.

Страница экзамена:

Oracle certified professional java programmer (ocpjp) — java se 8 programmer ii

OCPJP — это уже профессиональный уровень сертификации, который означает, что у обладателя данного сертификата есть достаточный уровень знаний и опыта в Java SE 8 для полноценного трудоустройства.

Чтобы получить OCPJP, сначала нужно сдать экзамен на предыдущую сертификацию базового уровня — OCAJP.

Стоимость экзамена:

US$150

Темы вопросов на экзамене:

  • Продвинутый дизайн класса
  • Создание приложений базы данных с JDBC
  • Параллелизм в Java
  • Исключения и утверждения
  • Дженерики и коллекции
  • Система ввода/вывода
  • Основы Java IO (NIO.2)
  • API Java Stream
  • Встроенные функциональные интерфейсы
  • Локализация
  • Использование Java SE 8 Date/Time API

Кодовый номер экзамена:

1Z0-809

Продолжительность:

150 минут

Проходной результат:

65%

Требования к наличию сертификаций:

OCAJP 8

Количество вопросов в экзамене:Тип вопросов:

выбор вариантов ответа.

Страница экзамена:

Как получить ocajp сертификацию?

Для начала изучите Java SE 8 от начального до среднего уровня, получите стартовый практический опыт применения Java SE 8. Далее можно переходить к экзамену, после сдачи которого вы и получите сертификацию.

Про сертификаты:  одтверждена совместимость USB-токенов и смарт-карт Рутокен с ОС Astra Linux Special Edition | Hi-Tech | Селдон Новости

Стоимость экзамена:

US$150

Темы вопросов на экзамене:

  • Создание и использование массивов
  • Обработка исключений в Java
  • Основы Java
  • Использование циклов
  • Использование операторов и управляющих конструкций
  • Правила наследования в Java
  • Преобразование типов в Java
  • Работа с методами и инкапсуляцией
  • Базовые и утилитные классы API JAVA

Кодовый номер экзамена:

1Z0-808

Продолжительность:

150 минут

Проходной результат:

65%

Требования к наличию сертификаций:

не требуется.

Количество вопросов в экзамене:Тип вопросов:

выбор вариантов ответа.

Страница экзамена:

Как получить сертификацию ocmjea?

Сначала нужно завершить один из нижеперечисленных курсов:

  • Architect Enterprise Applications with Java EE
  • Developing Applications for the Java EE 6 Platform
  • Developing Applications for the Java EE 7 Platform
  • Developing Applications with Java EE 6 on WebLogic Server 12c
  • Java Design Patterns
  • Java EE 6: Develop Business Components with JMS & EJBs
  • Java EE 6: Develop Database Applications with JPA
  • Java EE 6: Develop Web Services with JAX-WS & JAX-RS
  • Java EE 7: New Features
  • Java SE 7: Develop Rich Client Applications
  • Java SE 7 Fundamentals
  • Java SE 7 Programming
  • Java SE 8: Programming
  • Java SE 8 Fundamentals
  • Object-Oriented Analysis and Design Using UML

Следом нужно сделать

Стоимость экзамена:

US$150

Темы вопросов на экзамене:

  • Концепции и принципы разработки приложений
  • Разработка технологий корпоративного уровня
  • Общая архитектура
  • Шаблоны проектирования
  • Интеграция и коммуникации
  • Безопасность
  • Технологии разработки веб-приложений

Кодовый номер экзамена:

1Z0-807

Продолжительность:

150 минут

Проходной результат:

71%

Количество вопросов в экзамене:Тип вопросов:

выбор вариантов ответа.

Страница экзамена:

.

Далее следует выполнить задание Java (EE) Enterprise Architect Certified Master Assignment.

Стоимость:

US$150

Темы:

  • Раздел 1: Дизайн приложения, концепции и принципы
  • Раздел 2: Общие архитектуры
  • Раздел 3: Интеграция и обмен сообщениями
  • Раздел 4: Технологии бизнес-уровня
  • Раздел 5: Технологии веб-уровня
  • Раздел 6: Применимость технологии Java EE
  • Раздел 7: Шаблоны
  • Раздел 8: Безопасность

Кодовый номер экзамена:

1Z0-865

Продолжительность:

нужно завершить в течение 6-и месяцев после приобретения.

Страница задания:

.

Но и это еще не все. Последним шагом для получения этой сертификации будет написание эссе —

Кодовый номер экзамена:

1Z0-866

Продолжительность:

120 минут

Тип вопросов:

эссе

Страница экзамена:

Обзор java сертификаций от oracle

Как уже отмечалось выше, сертификаты от Oracle котируются, в первую очередь когда речь идет о Java-программистах. Поэтому дальше мы поговорим о том, какие сертификации от Oracle существуют, что они в себя включают и как их получить.

К слову, до того, как в 2021 году Sun Microsystems вместе со всеми своими активами перешла во владение Oracle, Oracle сертификации назывались сертификациями Sun.

Java сертификации: какие бывают, как получить и стоит ли заморачиваться? - 2

Проверка на скрытый код

Пожалуй, самой сложной частью работы было доказать, что недекларированных возможностей нет ни в BIOS, ни на накопителях аппаратных платформ. И вот вам одна из причин, по которой сертификация – плюс для конечного пользователя.

Процедура доказательства заняла еще примерно четыре месяца: с мая по август. Эта длительность понятна. В 2021 году вредоносный код нашелся в партии микросхем, произведенных в Китае, что стоило менеджерам одного крупного бренда многих нервных клеток. Тогда о «закладках» и заговорили всерьёз.

Решающее слово досталось Дж. Броссару, который представил доклад «Аппаратный бекдоринг – это удобно» (Johnatan Brossard, Hardware Backdooring is practical) на конференции Black Hat. Впрочем, в нашем случае всё прошло довольно скучно: недостатков и уязвимостей обнаружено не было.

Проверка целостности кода, аудит сборки

Чтобы у пользователя были гарантии, что и на будущее нежелательных изменений не будет – нам по требованию ФСТЭК предстояло добавить самоконтроль целостности. Имеется в виду проверка контрольных сумм всех неизменяемых файлов и файла конфигурации, а также автоматическое восстановление конфигурации, измененной неавторизованным способом.

По требованию контролирующего органа, все события, связанные с изменениями конфигурации, теперь детально протоколируются. Администратору направляется нотификация при критических событиях безопасности (например, разнице контрольных сумм). Таким образом, несанкционированная модификация системы исключается — еще один плюс.

С аудитом сборки было связано много задач. Для контрольной сборки пришлось даже настраивать сервер, чтобы специалисты контролирующего органа сами могли убедиться: конкретные объектные файлы собираются из конкретных исходников, а бинарные файлы, в свою очередь, — из конкретных объектников. Предоставлена была и возможность зафиксировать контрольные суммы исходных файлов.

Прохождение сценариев тестирования

В сентябре 2021 года мы начали взаимодействие с испытательной лабораторией

для прохождения сертификации, в декабре лаборатория приступила к анализу предоставленного дистрибутива. Сертификация ФСТЭК была довольно скрупулезной. Проверяли не только программный код продукта и его модулей, но и базовую операционную систему. Проверка на прохождение сценариев тестирования заняла несколько месяцев. Доработки были вначале небольшими: блокирование конкретного трафика, создание оповещений о различных событиях.

Пришлось реализовать оффлайновую установку обновлений, поскольку в некоторых инсталляциях Traffic Inspector Next Generation размещается внутри закрытого от интернета периметра.

Результаты сертификации

Доработки по требованию комиссии ФСТЭК коснулись системы оповещения о событиях, протоколирования, обновления, аудита целостности.

К ноябрю 2021 года у нас была возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ оценили систему оповещений и возможность через браузер управлять блокировками, получать доступ к статистике, простой интерфейс.

На сертификацию у нас ушел год. Это была большая, сложная работа, о которой мы не пожалели. Продукт полностью проверен, приведен в соответствие с требованиями. Значит ли это, что с нашим межсетевым экраном не страшны сетевые угрозы? Да, если соблюдать очевидные меры безопасности, а лучше — еще и обучать сотрудников основным принципам сетевой безопасности.

Можно много спорить о том, полезна ли сертификация конечному пользователю. Но главным нам кажется, вот что: готов ли производитель дорабатывать свой продукт? Имеет ли он ресурсы вовремя исправлять найденные недостатки? Открыт ли он для критики?

Сертификация ФСТЭК в этом контексте – тест, показывающий уровень компетенций разработчика. Мы его прошли, отчего испытываем нескрываемое удовлетворение. Мы уважаем наших конкурентов, которые также прошли это испытание — значит, у нас достойные соперники (впрочем, их единицы).

Команда «Смарт-Софт»

Сертифицированные средства защиты информации 2021

На рынке информационной безопасности России представлено большое количество отечественных и зарубежных программных и программно-аппаратных средств защиты информации (СЗИ). Многим корпоративным и государственным заказчикам сложно сориентироваться в огромном количестве маркетингового шума и самостоятельно выбрать действительно качественную и эффективную защиту. Неверный выбор средств информационной безопасности может быть чреват финансовыми и репутационными потерями.

Помочь в выборе средств защиты информации и сузить количество вариантов помогают независимые тестирования и  сертификаты, в том числе государственные.

Ниже приведена сводная таблица, куда собраны и классифицированы сведения о сертифицированных средствах защиты информации из государственного реестра сертифицированных средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00 и реестра добровольной сертификации AM Test Lab, действующей с 2006 года.

Из реестра ФСТЭК мы отобрали только наиболее известные на рынке средства защиты информации и их актуальные версии.

ФСТЭК РоссииСертификат AM Test Lab 

В таблице указана информация о действующих сертификатах ФСТЭК России (номер, срок действия, версия продукта) и сертификате AM Test Lab (номер, дата выдачи, версия продукта, ссылка на подробный обзор).

В случае наличия у СЗИ обоих сертификатов его строка выделена зеленым цветом, что обозначает высокую степень доверия к данному продукту.

В таблице приведены данные из реестров по состоянию на 29 мая 2021 года.

Эпилог

В заключение хотелось бы обратиться к нашим читателям. Пишите в комментариях свое мнение по поводу сертификаций Java, имеет ли смысл их получать и, если у вас был опыт их получения, помогают ли они в трудоустройстве и профессиональном развитии.

Оцените статью
Мой сертификат
Добавить комментарий