Анализ уязвимостей и оценка соответствия по ОУД4

Анализ уязвимостей и оценка соответствия по ОУД4

Простыми словами анализ уязвимостей по оценочному уровню доверия (далее – ОУД4) – это комплекс мероприятий, заключающийся в проверке критериев безопасности прикладного ПО, ранее применяемый только для средств защиты информации и проводимых в полном соответствии с ГОСТ 15408.

Требования нормативных документов регулятора финансового сектора, а именно ЦБ, в направлении использования безопасного прикладного ПО содержится в Положениях 382-П, 683-П, 684-П и заключается в проведении анализа уязвимостей исходного кода функций безопасности ПО, используемого при переводах денежных средств.

В Положении 719-П и 757-П имеется похожее требование к использованию безопасного прикладного ПО, однако в данном нормативном документе говорится об оценке соответствия прикладного ПО по ОУД4.

Разница между анализом уязвимостей по ОУД4 и оценкой соответствия по ОУД4 заключается в том, что анализ уязвимостей – это комплекс мероприятий по оценке лишь части компонентов доверия в пределах определённого уровня доверия, например, при проведении анализа уязвимостей оцениваются классы доверия «Разработка», «Руководства», «Оценка уязвимостей». В отличии от анализа уязвимостей, в оценку соответствия по ОУД4 входит анализ всего перечня классов доверия и выполнения всех действий оценщика.

Оценка по ОУД4

Обобщенно работы по проведению оценки соответствия требованиям регулятора в направлении защиты информации, применяемых в отношении прикладного программного обеспечения дифференцируются на:

    • Анализ документации и разработка Задания по безопасности;
    • Изучение архитектуры и компонентов прикладного ПО;
    • Поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ПО;
    • Статический/динамический анализ исходного кода различными анализаторами;
    • Разрабатывается, согласовывается и уточняется методика проведения пентеста, которая учитывает результаты поиска уязвимостей и анализа исходного кода;
    • Разворачивается тестовый стенд, повторяющий среду функционирования;
    • Проводится динамический анализ исполняемого приложения и фаззинг серверной части;
    • Проводится тестирование на проникновение, включая протоколирование всех проведённых тестов и испытаний;
    • Проводятся оценка иных элементов доверия, входящих в область оценки;
    • Составляется отчет о проведенном исследовании, в который входит (на примере анализа уязвимостей по ОУД4):
      • перечень исследованных компонентов прокладного ПО и среды функционирования;
      • перечень баз данных уязвимостей, которые были использованы при исследовании;
      • результаты исследования;
      • идентификацию выявленных уязвимостей и их перечень с оценкой степени критичности;
      • рекомендации по устранению выявленных уязвимостей и сведения об их устранении;
      • демонстрацию отсутствия возможности использовать выявленные уязвимости.

ОУД4 и ГОСТ 15408

При проведении работ по анализу уязвимостей по ОУД4 и оценке соответствия по ОУД4 тесно сотрудничают группы пользователей, которые отражены в ГОСТ 15408.

ГОСТ 15408 выделяет три группы пользователей данным стандартом:

  • Потребители – лица либо организации, заинтересованные в качестве анализируемого продукта/технологий;
  • Разработчики – лица либо организации, заинтересованное в оценке своих продуктов/технологий и содействии в проведении оценки, а также при установлении требований безопасности, которым должны удовлетворять продукты/технологии;
  • Оценщики – лица либо группа лиц, проводящие комплекс мероприятий по оценке элементов доверия продукта/технологии соответствующего оценочному уровню доверия. В рамках анализа уязвимостей и оценки соответствия оценщики должны использовать ГОСТ 15408 в качестве справочного руководства при интерпретации изложения как функциональных требований, так и требований доверия.

В ГОСТ 15408 предполагается, что проверку правильности документации и разработанного продукта ИТ будут проводить опытные оценщики, уделяя особое внимание области, глубине и строгости оценки.

В содержании каждого из элементов доверия, в соответствии с ГОСТ 15408 отражены действия оценщика. Действия оценщика — тот набор действий непосредственно подтверждение то, что требования, предписанные элементами содержания, доверия и представления свидетельств, выполнены, а также явные действия и анализ, которые должны выполняться в дополнение к уже проведенным разработчиком.

Кто проводит оценку по ОУД4

В вертикали структуры ГОСТ 15408 явно прослеживается идея высокого профессионализма оценщика, как одной из основных ролей, участвующих в процессе поддержания должного уровня безопасности разрабатываемого продукта/технологии.

Оценщик должен иметь высшее образование, обладать глубокими знаниями в области программирования на различных языках, методах оценки. Также оценщик должен обладать опытом проведения технического анализа исходного кода программного продукта, разработки специализированной документации, для эффективного анализа предоставляемой разработчиком документации. Оценщику необходима способность быстро приспосабливаться к постоянно изменяющимся условиям при проведении исследования, а также навык работы с множественными источниками информации.

Аксенов Максим Валерьевич
Автор статьи:

Специалист по информационной безопасности

Услуги для Вас

Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Оценка соответствия по 683-П

Оценка соответствия требованиям Положения Банка России №683-П

Подробнее

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка соответствия по 672-П (747-П)

Оценка соответствия требованиям Положения Банка России №672-П (747-П)

Подробнее