Необходимо провести анализ уязвимостей программного обеспечения по требованиям к оценочному уровню доверия (ОУД)? Отправьте запрос и мы свяжемся с вами в течении одного рабочего дня!
Анализ уязвимостей по требованиям ОУД 4
Программное обеспечение, для которого требуется проведение анализа уязвимостей по требованиям ОУД 4:
- прикладное программное обеспечения автоматизированных систем (АС) и приложений, распространяемых клиентам для совершения финансовых операций;
- программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС с использованием Интернет.
1 января 2020 год – установленный срок выполнения требований для проведения анализа уязвимостей по требованию к оценочному уровню доверия (Положения № 683-п, № 684-п).
Несмотря на то, что ЦБ в своем письме № ИН-014-56/105 от 31 декабря 2019 г. сообщает о том, что считает целесообразным применять к кредитным организациям меры за несоблюдение указанных требований только с 1 июля 2020 года, времени на реализацию данного требования с учетом намерений ЦБ крайне мало.
Почему анализ уязвимостей, а не сертификация?
Хотя Положения ЦБ позволяют финансовым организациям выбрать один из двух вариантов реализации данного требования:
1) сертификация в системе ФСТЭК;
2) проведение анализа по требованиям к оценочному уровню доверия (не ниже ОДУ-4).
Проходить сертификацию в системе ФСТЭК нецелесообразно, так как:
- требования при сертификации ФСТЭК к ПО более высокие чем ОУД-4;
- ФСТЭК в 2019 году поменял систему сертификации, и описанная в документах ЦБ система юридически не соответствует текущей;
- сертификацию могут проводить лишь испытательные лаборатории, их количество на рынке РФ ограничены. По нашей информации, данные лаборатории в настоящий момент очень загружены, поэтому работу по сертификации могут затянуться не на один месяц.
Что необходимо для проведения анализа уязвимостей по требованиям ОУД
При проведении анализа уязвимостей по требованиям ОУД нашим специалистам необходим следующий пакет документов и программных компонент:
- инсталляционная версия программного обеспечения;
- исходный код программного обеспечения;
- программные утилиты, используемые для компиляции программного обеспечения из исходных текстов программных модулей;
- сведения о программном обеспечении;
- тестовая документация;
- проектная документация;
- эксплуатационная документация;
- дополнительная документация, содержащая сведения о ПО;
- документация по безопасной разработке.
1. Общий вердикт по анализу уязвимостей «положительный» тогда и только тогда, когда все составляющие вердикта положительные.
Т. е. данное нормативные документы не предусматривают вариативность либо необходимость набора определенного количества балов, как это предполагает ГОСТ 57580. Для успешного прохождения анализа уязвимостей по требованиям ОУД необходимо выполнить все требования без исключения.
2. Отсутствие полного комплекта документов на программное обеспечение.
Комплект документов на программное обеспечение достаточно обширный, а комплект нормативной документации, на базе которой необходимо его разработать не меньше. И это представляет одну из самых больших проблем при прохождении анализа уязвимостей, т. к. в большинстве случаев финансовые организации имеют для своих программных продуктов лишь руководства администратора и пользователя и этого явно недостаточно.
Хотелось бы обратить Ваше внимание на тот факт, что значительную часть сведений, необходимых для формирования финальных документов, должен представить разработчик программного обеспечения. Это связано с тем, что для выполнения требований семейства национальных стандартов ГОСТ Р 15408 при разработке документов необходимо погрузиться в архитектуру и реализацию программного продукта на достаточно глубокий уровень.
А объем сведений, которых необходимо запросить у Разработчика, достаточно значительный, что не позволяет в принципе выполнять подобные работы «под ключ». По этой причине мы не видим другого варианта взаимодействия по разработке документов для ОУД, кроме как разработки проектов данных документов.
Полный перечень комплекта документов для разработки и нормативных документов, которые нужно учесть при разработке представлен ниже.
3. Отсутствует документация по безопасной разработке.
Для успешного прохождения анализа уязвимостей по требованиям ОУД необходимо также задокументировать процесс безопасной разработки на стороне разработчика программного обеспечения. И это может быть проблемой, когда финансовая организация и разработчик ПО разные юридические лица.
|
|
Отправить запрос
|
Ответы на часто задаваемые вопросы.
1. Какие документы необходимы для успешного прохождения ОУД?
Документация на программное обеспечение:
‐ Описание объекта оценки;
‐ Руководство пользователя;
‐ Руководство администратора;
‐ Задание по безопасности;
‐ Формуляр;
‐ Технические условия;
‐ Регламент передачи ПО пользователю;
‐ Регламент отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы;
‐ Регламент приема и обработки сообщений от пользователей об ошибках ПО и уязвимостях программы;
‐ Регламента доведения до пользователей информации об уязвимости программы и рекомендаций по их устранению;
‐ Регламент управления конфигурацией;
‐ Регламент регистрации событий изменений конфигурации ПО;
‐ Регламент экстренного выпуска обновлений ПО;
‐ Регламент маркировки версий ПО;
‐ Журнала регистрации изменений конфигурации ПО;
‐ Журнал ошибок и уязвимостей программы;
‐ Регламент поддержки жизненного цикла;
‐ Описание архитектуры безопасности;
‐ Функциональная спецификация;
‐ Регламент и протоколы тестирования программы;
‐ Регламент и протоколы экспертизы исходного кода программы;
‐ Регламент и протоколы тестирования на проникновение;
‐ Регламент, протоколы, журналы поиска уязвимостей программы;
‐ Отчет по анализу уязвимостей и тестированию на проникновение;
Документация по реализации процесса безопасной разработки:
‐ Руководство по разработке безопасного ПО;
‐ Перечень инструментальных средств разработки ПО;
‐ Порядок оформления исходного кода программы;
‐ Регламент защиты инфраструктуры среды разработки ПО;
‐ Программа обучения сотрудников в области разработки безопасного ПО;
‐ Журнал обучения сотрудников в области разработки безопасного ПО.
‐ Описание объекта оценки;
‐ Руководство пользователя;
‐ Руководство администратора;
‐ Задание по безопасности;
‐ Формуляр;
‐ Технические условия;
‐ Регламент передачи ПО пользователю;
‐ Регламент отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы;
‐ Регламент приема и обработки сообщений от пользователей об ошибках ПО и уязвимостях программы;
‐ Регламента доведения до пользователей информации об уязвимости программы и рекомендаций по их устранению;
‐ Регламент управления конфигурацией;
‐ Регламент регистрации событий изменений конфигурации ПО;
‐ Регламент экстренного выпуска обновлений ПО;
‐ Регламент маркировки версий ПО;
‐ Журнала регистрации изменений конфигурации ПО;
‐ Журнал ошибок и уязвимостей программы;
‐ Регламент поддержки жизненного цикла;
‐ Описание архитектуры безопасности;
‐ Функциональная спецификация;
‐ Регламент и протоколы тестирования программы;
‐ Регламент и протоколы экспертизы исходного кода программы;
‐ Регламент и протоколы тестирования на проникновение;
‐ Регламент, протоколы, журналы поиска уязвимостей программы;
‐ Отчет по анализу уязвимостей и тестированию на проникновение;
Документация по реализации процесса безопасной разработки:
‐ Руководство по разработке безопасного ПО;
‐ Перечень инструментальных средств разработки ПО;
‐ Порядок оформления исходного кода программы;
‐ Регламент защиты инфраструктуры среды разработки ПО;
‐ Программа обучения сотрудников в области разработки безопасного ПО;
‐ Журнал обучения сотрудников в области разработки безопасного ПО.
2. Какие требования нужно учесть при разработке документов для ПО?
Ниже представлены стандарты, в соответствии с которыми необходимо разработать всю документацию на программный продукт и процесс безопасной разработки. К этому списку может добавиться проект профиля защиты ЦБ, который в настоящий момент еще не утвержден ЦБ. Так же еще 3-5 нормативных документов в зависимости от специфики реализации программного обеспечения:
‐ ГОСТ ИСО/МЭК 15408: Общие критерии;
‐ ГОСТ ИСО/МЭК 15408-1: Введение и общая модель;
‐ ГОСТ ИСО/МЭК 15408-2: Функциональные компоненты безопасности;
‐ ГОСТ ИСО/МЭК 15408-3: Компоненты доверия к безопасности;
‐ ГОСТ ИСО/МЭК 18045: Методология оценки;
‐ ГОСТ Р 58142: Использование источников для идентификации уязвимостей;
‐ ГОСТ Р 56545: Правила описания уязвимостей;
‐ ГОСТ Р 56546: Классификация уязвимостей;
‐ ГОСТ Р 58143: Тестирование проникновения;
‐ ГОСТ ИСО/МЭК ТО 20004: Уточнённый анализ уязвимости программного обеспечения;
‐ ГОСТ Р 57628-2017: Руководство по разработке профилей защиты и заданий по безопасности;
‐ ГОСТ Р 56939-2016: Защита информации. Разработка безопасного программного обеспечения. Общие требования;
‐ ГОСТ Р 58412-2019: Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения;
‐ ГОСТ 19.501-78: Единая система программной документации (ЕСПД). Формуляр. Требования к содержанию и оформлению;
‐ ГОСТ 2.114-2016: «Единая система конструкторской документации (ЕСКД). Технические условия»;
‐ ГОСТ Р 56920-2016/ISO/IEC/IEEE 29119-1:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 1. Понятия и определения;
‐ ГОСТ Р 56921-2016/ISO/IEC/IEEE 29119-2:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 2. Процессы тестирования;
‐ ГОСТ Р 56922-2016/ISO/IEC/IEEE 29119-3:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 3. Документация тестирования;
‐ ГОСТ Р ИСО 10007: Менеджмент организации. Руководящие указания по управлению конфигурацией;
‐ ГОСТ Р ИСО/МЭК 12207: Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
‐ ГОСТ ИСО/МЭК 15408: Общие критерии;
‐ ГОСТ ИСО/МЭК 15408-1: Введение и общая модель;
‐ ГОСТ ИСО/МЭК 15408-2: Функциональные компоненты безопасности;
‐ ГОСТ ИСО/МЭК 15408-3: Компоненты доверия к безопасности;
‐ ГОСТ ИСО/МЭК 18045: Методология оценки;
‐ ГОСТ Р 58142: Использование источников для идентификации уязвимостей;
‐ ГОСТ Р 56545: Правила описания уязвимостей;
‐ ГОСТ Р 56546: Классификация уязвимостей;
‐ ГОСТ Р 58143: Тестирование проникновения;
‐ ГОСТ ИСО/МЭК ТО 20004: Уточнённый анализ уязвимости программного обеспечения;
‐ ГОСТ Р 57628-2017: Руководство по разработке профилей защиты и заданий по безопасности;
‐ ГОСТ Р 56939-2016: Защита информации. Разработка безопасного программного обеспечения. Общие требования;
‐ ГОСТ Р 58412-2019: Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения;
‐ ГОСТ 19.501-78: Единая система программной документации (ЕСПД). Формуляр. Требования к содержанию и оформлению;
‐ ГОСТ 2.114-2016: «Единая система конструкторской документации (ЕСКД). Технические условия»;
‐ ГОСТ Р 56920-2016/ISO/IEC/IEEE 29119-1:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 1. Понятия и определения;
‐ ГОСТ Р 56921-2016/ISO/IEC/IEEE 29119-2:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 2. Процессы тестирования;
‐ ГОСТ Р 56922-2016/ISO/IEC/IEEE 29119-3:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 3. Документация тестирования;
‐ ГОСТ Р ИСО 10007: Менеджмент организации. Руководящие указания по управлению конфигурацией;
‐ ГОСТ Р ИСО/МЭК 12207: Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
3. Банк использует ПО стороннего разработчика. Кто должен проводить анализ уязвимости по ОУД банк или разработчик?
Требование Центробанка о необходимости проведения анализа уязвимостей по требованиям к уровням доверия либо сертификации данного ПО предъявляется непосредственно к финансовым организациям. Если разработчик, с которым заключен договор на разработку и сопровождение программного обеспечения, не готов:
• передать исходные коды программного продукта;
• реализовать у себя и задокументировать процесс безопасной разработки (см. выше);
• разработать документацию на программное обеспечение;
• исправлять выявленные уязвимости в документации и исходном коде;
то успешно пройти анализ уязвимости программного обеспечения у банка не получится, а Центробанк будет спрашивать именно с банка, как с финансовой организации, использующей ПО, которая должна выполнять требования законодательства.
В такой ситуации возможны 2 пути:
1) договориться с разработчиком о предоставлении необходимой документации и информации;
2) предложить разработчику банковского ПО от своего лица провести анализ уязвимостей к оценочному уровню доверия.
В противном случае использование банковского ПО, не прошедшего анализ уязвимостей к оценочному уровню доверия (ОУД) является прямым нарушение требований Банка России со всеми вытекающими последствиями.
Ситуация «патовая» и, к сожалению, на данный момент других решений нет. Наши специалисты непрерывно отслеживают все активности регуляторов в этой области, изучают опыт банков и других финансовых организаций, а также опыт разработчиков по решению вопросов, связанных требованиями Центробанка по выполнению Положений № 683-п для кредитных финансовых организаций и № 684-п для некредитных финансовых организаций.
• передать исходные коды программного продукта;
• реализовать у себя и задокументировать процесс безопасной разработки (см. выше);
• разработать документацию на программное обеспечение;
• исправлять выявленные уязвимости в документации и исходном коде;
то успешно пройти анализ уязвимости программного обеспечения у банка не получится, а Центробанк будет спрашивать именно с банка, как с финансовой организации, использующей ПО, которая должна выполнять требования законодательства.
В такой ситуации возможны 2 пути:
1) договориться с разработчиком о предоставлении необходимой документации и информации;
2) предложить разработчику банковского ПО от своего лица провести анализ уязвимостей к оценочному уровню доверия.
В противном случае использование банковского ПО, не прошедшего анализ уязвимостей к оценочному уровню доверия (ОУД) является прямым нарушение требований Банка России со всеми вытекающими последствиями.
Ситуация «патовая» и, к сожалению, на данный момент других решений нет. Наши специалисты непрерывно отслеживают все активности регуляторов в этой области, изучают опыт банков и других финансовых организаций, а также опыт разработчиков по решению вопросов, связанных требованиями Центробанка по выполнению Положений № 683-п для кредитных финансовых организаций и № 684-п для некредитных финансовых организаций.
|
Остались еще вопросы? Нужна консультация? Мы всегда готовы помочь!
|
Спросить
|
