Куда я попал?
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (Выписка)
Страна: Россия
Методическая документация ФСТЭК
2. Общие требования к проведению исследований по выявлению уязвимостей и недекларированных возможностей
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
2.3. При проведении исследований ОО используются:а) документация на ОО, предусмотренная Требованиями доверия;б) исходный код ОО;в) сборочная среда и система сборки ОО, включая их документацию;г) дистрибутив ОО;д) результаты выполнения процессов разработки ОО в соответствии с ГОСТ Р 56939-2024, включающие результаты анализа безопасности архитектуры и определения поверхности атаки, композиционного анализа, анализа безопасности конфигураций, статического анализа исходного кода, фаззинг-тестирования, тестирования на проникновение, результаты реализации программ по поиску уязвимостей ОО (Bug Bounty), если таковые проводились, результаты интеграционного, функционального, модульного тестирования, в том числе демонстрирующего выполнение заявленных функции безопасности (далее – ФБ);е) перечень программных компонентов и образов контейнеров ОО (объем и форма представления перечней приведены в Приложении 1 к настоящей Методике);ж) системные (интеграционные), функциональные, регрессионные, модульные тесты, фаззинг-тесты, включая специально сформированные синтетические, тесты, демонстрирующие выполнение заявленных ФБ ОО, а также описание конфигураций инструментальных средств анализа и контроля и иную тестовую документацию (предоставленная тестовая документация должна демонстрировать прослеживаемость заявленных ФБ и функциональных тестов и содержать описание целей тестирования, тестовых процедур и ожидаемых результатов, а также фактические результаты тестирования (например, журналы регистрации событий или скриншоты);з) план поддержки безопасности заимствованных компонентов сертифицированного ОО (в случае внесения изменения в сертифицированный ОО);и) заданные и описанные в эксплуатационной документации разработчиком ОО в контейнерном исполнении списки действий (правила), разрешенные при взаимодействии компонентов ОО (контейнеров, микросервисов, иных ресурсов, характерных для выбранного типа оркестратора) между собой, с компонентами среды функционирования с внешними по отношению к ОО компонентами;к) методики анализа поверхности атаки заимствованных компонентов с открытым исходным кодом, опубликованные на сайте Центра исследований безопасности системного программного обеспечения (далее – Центр исследований) в разделе «Методики анализа поверхности атаки» (portal.linuxtesting.ru);л) методики статического анализа заимствованных компонентов с открытым исходным кодом, опубликованные на сайте Центра исследований в разделе «Методики проведения статического анализа» (portal.linuxtesting.ru);м) методики тестирования заимствованных компонентов с открытым исходным кодом, опубликованные на сайте Центра исследований в разделе «Методики проведения тестирования» (portal.linuxtesting.ru);н) методики фаззинг-тестирования заимствованных компонентов с открытым исходным кодом, опубликованные на сайте Центра исследований в разделе «Методики проведения фаззинг-тестирования» (portal.linuxtesting.ru).
-
2.6. Исследования ОО по выявлению уязвимостей и НДВ в соответствии с положениями настоящей Методики проводятся специалистами испытательной лаборатории (далее – испытательная лаборатория)<1>, а также специалистами организации-разработчика, ответственными за обеспечение разработки безопасного программного обеспечения, с привлечением специалистов, непосредственно участвующих в разработке ОО (далее – разработчик ОО).
<1> В случае если организация-разработчик имеет сертификат соответствия процессов безопасной разработки программного обеспечения средств защиты информации требованиям национального стандарта ГОСТ Р 56939-2024, в качестве специалистов испытательной лаборатории рассматриваются специалисты указанной организации-разработчика, ответственные за обеспечение разработки безопасного программного обеспечения.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.