Куда я попал?
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (Выписка)
Страна: Россия
Методическая документация ФСТЭК
3.1.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
При проведении исследований оцениваются представленные разработчиком ОО результаты анализа ОО, проводимого в соответствии с ГОСТ Р 56939-2024, иными национальными стандартами в области защиты информации, с целью использования в качестве материалов исследований на предмет:а) правильности выбора и настройки разработчиком средств выявления уязвимостей и НДВ;б) соответствия полноты проводимых исследований требованиям уровня контроля, включая полноту набора анализируемых функциональных возможностей, интерфейсов, модулей и подпрограмм (функций);в) правильности интерпретации результатов, полученных от средств выявления уязвимостей и НДВ, полноты и однозначности разметки предупреждений.
-
Испытательной лабораторией оценивается полнота поверхности атаки<2> ОО, представленной разработчиком в исходных данных. Для этого выполняется анализ поверхности атаки ОО с учетом методик анализа поверхности атаки заимствованных компонентов с открытым исходным кодом, указанных в пункте 2.3 настоящей Методики, и проводится сопоставление полученных результатов.
<2> Поверхность атаки (программного обеспечения) ‒ множество подпрограмм (функций) программного обеспечения, обрабатывающих данные из интерфейсов, непосредственно или косвенно подверженных потенциальному риску атаки. -
Входными данными для анализа поверхности атаки являются декларируемые перечни аппаратных, программных и пользовательских интерфейсов, доступных для атаки потенциальным нарушителям.Анализ поверхности атаки представляет собой следующие действия:
- для пользовательских и аппаратных интерфейсов в ОО определяются соответствующие программные интерфейсы ОО, которые объединяются с входным перечнем программных интерфейсов;
- для каждого программного интерфейса из объединенного перечня определяются модули ОО, в которых реализуется обработка контролируемых потенциальным нарушителем входных данных.
В качестве минимальных требований к полноте поверхности атаки ОО выступают включенные в ее состав подпрограммы (функции):а) непосредственно доступные для вызова потенциальным нарушителям<3>;б) входные данные, которые потенциальный нарушитель способен гарантированно сформировать определенным образом через доступные ему интерфейсы.
<3> В качестве потенциальных нарушителей рассматриваются в том числе все штатные пользователи ОО, обладающие произвольными ролями, за исключением оговоренных в пункте 3.1 настоящей Методики частных случаев. -
По результатам анализа документации и иных исходных данных оценивается состав и полнота полученных для испытуемого ОО результатов выполнения процессов разработки в соответствии с ГОСТ Р 56939-2024 в целях учета этих результатов при составлении методики проведения исследований.При проведении дальнейших исследований ОО испытательная лаборатория контролирует перечень анализируемых интерфейсов и модулей ОО с целью выявления недекларированных интерфейсов, модулей и реализуемого ими функционала, в том числе неиспользуемого кода и неиспользуемых функциональных возможностей ОО.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.