Куда я попал?
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (Выписка)
Страна: Россия
Методическая документация ФСТЭК
3.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Задачами исследования являются:а) формирование представления о:
- функциональных возможностях и ФБ ОО;
- условиях безопасной эксплуатации, режимах и параметрах функционирования ОО;
- структуре ОО на уровне интерфейсов, компонентов, модулей, файлов, структурных элементов кода;
- сторонних программных компонентах ОО;
- параметрах и особенностях функционирования сборочной среды и системы сборки ОО;
б) оценка состава и полноты полученных для испытуемого ОО результатов выполнения процессов разработки в соответствии с ГОСТ Р 56939-2024, иными национальными стандартами в области информационной безопасности;в) разработка методики проведения исследований.Исходные данные для проведения исследования предоставляются в соответствии с требованиями пункта 2.3 настоящей Методики. -
При проведении исследований оцениваются представленные разработчиком ОО результаты анализа ОО, проводимого в соответствии с ГОСТ Р 56939-2024, иными национальными стандартами в области защиты информации, с целью использования в качестве материалов исследований на предмет:а) правильности выбора и настройки разработчиком средств выявления уязвимостей и НДВ;б) соответствия полноты проводимых исследований требованиям уровня контроля, включая полноту набора анализируемых функциональных возможностей, интерфейсов, модулей и подпрограмм (функций);в) правильности интерпретации результатов, полученных от средств выявления уязвимостей и НДВ, полноты и однозначности разметки предупреждений.
-
Испытательной лабораторией оценивается полнота поверхности атаки<2> ОО, представленной разработчиком в исходных данных. Для этого выполняется анализ поверхности атаки ОО с учетом методик анализа поверхности атаки заимствованных компонентов с открытым исходным кодом, указанных в пункте 2.3 настоящей Методики, и проводится сопоставление полученных результатов.
<2> Поверхность атаки (программного обеспечения) ‒ множество подпрограмм (функций) программного обеспечения, обрабатывающих данные из интерфейсов, непосредственно или косвенно подверженных потенциальному риску атаки. -
Входными данными для анализа поверхности атаки являются декларируемые перечни аппаратных, программных и пользовательских интерфейсов, доступных для атаки потенциальным нарушителям.Анализ поверхности атаки представляет собой следующие действия:
- для пользовательских и аппаратных интерфейсов в ОО определяются соответствующие программные интерфейсы ОО, которые объединяются с входным перечнем программных интерфейсов;
- для каждого программного интерфейса из объединенного перечня определяются модули ОО, в которых реализуется обработка контролируемых потенциальным нарушителем входных данных.
В качестве минимальных требований к полноте поверхности атаки ОО выступают включенные в ее состав подпрограммы (функции):а) непосредственно доступные для вызова потенциальным нарушителям<3>;б) входные данные, которые потенциальный нарушитель способен гарантированно сформировать определенным образом через доступные ему интерфейсы.
<3> В качестве потенциальных нарушителей рассматриваются в том числе все штатные пользователи ОО, обладающие произвольными ролями, за исключением оговоренных в пункте 3.1 настоящей Методики частных случаев. -
По результатам анализа документации и иных исходных данных оценивается состав и полнота полученных для испытуемого ОО результатов выполнения процессов разработки в соответствии с ГОСТ Р 56939-2024 в целях учета этих результатов при составлении методики проведения исследований.При проведении дальнейших исследований ОО испытательная лаборатория контролирует перечень анализируемых интерфейсов и модулей ОО с целью выявления недекларированных интерфейсов, модулей и реализуемого ими функционала, в том числе неиспользуемого кода и неиспользуемых функциональных возможностей ОО.
-
Если результатом модификации исходного кода является код на языке программирования высокого уровня, то в отношении модулей, затронутых данной модификацией, необходимо провести статический анализ как исходного кода, так и модифицированного кода в соответствии с требованиями пункта 4.2 настоящей Методики.
-
Если результатом модификации кода модуля ОО является интерпретируемый код (байт-код) или машинный код, то все затронутые модули ОО должны быть подвергнуты экспертизе в соответствии с требованиями пункта 4.4 настоящей Методики. Если суммарный объем байт-кода или машинного кода, полученного в результате модификации, превосходит 10 000 инструкций (команд), испытательная лаборатория принимает решение о невозможности проведения дальнейших исследований ОО.
-
В методике проведения исследований (или протоколе исследований) приводится описание поверхности атаки в графической нотации в объеме сущностей не меньшем, чем:
- интерфейсы непосредственной поверхности атаки;
- модули, реализующие интерфейсы поверхности атаки;
- подсистемы, включающие в себя модули, реализующие поверхность атаки (например, микросервисы, логически объединенные группы функций или компонентов, привлекаемые инфраструктурные компоненты).
Также указываются как минимум следующие характеристики модулей:- используемые языки программирования;
- выполнение модулем функции веб-сервиса;
- выполнение модулем функции среды выполнения для интерпретируемых языков программирования или языков программирования, компилируемых в промежуточное представление.
Пример графической нотации представлен в Приложении 3 к настоящей Методике.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.