Куда я попал?
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (Выписка)
Страна: Россия
Методическая документация ФСТЭК
3. Подготовка к проведению исследований по выявлению уязвимостей и недекларированных возможностей (ПОД)
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
В ходе подготовки к проведению исследований по выявлению уязвимостей и НДВ объекта оценки должны выполняться:а) анализ документации и иных исходных данных (ПОД.1);б) подготовка исследовательского стенда (ПОД.2).Перечень исследований при подготовке к проведению исследований по выявлению уязвимостей и НДВ объекта оценки представлен в таблице 1.
-
Задачами исследования являются:а) формирование представления о:
- функциональных возможностях и ФБ ОО;
- условиях безопасной эксплуатации, режимах и параметрах функционирования ОО;
- структуре ОО на уровне интерфейсов, компонентов, модулей, файлов, структурных элементов кода;
- сторонних программных компонентах ОО;
- параметрах и особенностях функционирования сборочной среды и системы сборки ОО;
б) оценка состава и полноты полученных для испытуемого ОО результатов выполнения процессов разработки в соответствии с ГОСТ Р 56939-2024, иными национальными стандартами в области информационной безопасности;в) разработка методики проведения исследований.Исходные данные для проведения исследования предоставляются в соответствии с требованиями пункта 2.3 настоящей Методики. -
При проведении исследований оцениваются представленные разработчиком ОО результаты анализа ОО, проводимого в соответствии с ГОСТ Р 56939-2024, иными национальными стандартами в области защиты информации, с целью использования в качестве материалов исследований на предмет:а) правильности выбора и настройки разработчиком средств выявления уязвимостей и НДВ;б) соответствия полноты проводимых исследований требованиям уровня контроля, включая полноту набора анализируемых функциональных возможностей, интерфейсов, модулей и подпрограмм (функций);в) правильности интерпретации результатов, полученных от средств выявления уязвимостей и НДВ, полноты и однозначности разметки предупреждений.
-
Испытательной лабораторией оценивается полнота поверхности атаки<2> ОО, представленной разработчиком в исходных данных. Для этого выполняется анализ поверхности атаки ОО с учетом методик анализа поверхности атаки заимствованных компонентов с открытым исходным кодом, указанных в пункте 2.3 настоящей Методики, и проводится сопоставление полученных результатов.
<2> Поверхность атаки (программного обеспечения) ‒ множество подпрограмм (функций) программного обеспечения, обрабатывающих данные из интерфейсов, непосредственно или косвенно подверженных потенциальному риску атаки. -
Входными данными для анализа поверхности атаки являются декларируемые перечни аппаратных, программных и пользовательских интерфейсов, доступных для атаки потенциальным нарушителям.Анализ поверхности атаки представляет собой следующие действия:
- для пользовательских и аппаратных интерфейсов в ОО определяются соответствующие программные интерфейсы ОО, которые объединяются с входным перечнем программных интерфейсов;
- для каждого программного интерфейса из объединенного перечня определяются модули ОО, в которых реализуется обработка контролируемых потенциальным нарушителем входных данных.
В качестве минимальных требований к полноте поверхности атаки ОО выступают включенные в ее состав подпрограммы (функции):а) непосредственно доступные для вызова потенциальным нарушителям<3>;б) входные данные, которые потенциальный нарушитель способен гарантированно сформировать определенным образом через доступные ему интерфейсы.
<3> В качестве потенциальных нарушителей рассматриваются в том числе все штатные пользователи ОО, обладающие произвольными ролями, за исключением оговоренных в пункте 3.1 настоящей Методики частных случаев. -
По результатам анализа документации и иных исходных данных оценивается состав и полнота полученных для испытуемого ОО результатов выполнения процессов разработки в соответствии с ГОСТ Р 56939-2024 в целях учета этих результатов при составлении методики проведения исследований.При проведении дальнейших исследований ОО испытательная лаборатория контролирует перечень анализируемых интерфейсов и модулей ОО с целью выявления недекларированных интерфейсов, модулей и реализуемого ими функционала, в том числе неиспользуемого кода и неиспользуемых функциональных возможностей ОО.
-
Если результатом модификации исходного кода является код на языке программирования высокого уровня, то в отношении модулей, затронутых данной модификацией, необходимо провести статический анализ как исходного кода, так и модифицированного кода в соответствии с требованиями пункта 4.2 настоящей Методики.
-
Если результатом модификации кода модуля ОО является интерпретируемый код (байт-код) или машинный код, то все затронутые модули ОО должны быть подвергнуты экспертизе в соответствии с требованиями пункта 4.4 настоящей Методики. Если суммарный объем байт-кода или машинного кода, полученного в результате модификации, превосходит 10 000 инструкций (команд), испытательная лаборатория принимает решение о невозможности проведения дальнейших исследований ОО.
-
В методике проведения исследований (или протоколе исследований) приводится описание поверхности атаки в графической нотации в объеме сущностей не меньшем, чем:
- интерфейсы непосредственной поверхности атаки;
- модули, реализующие интерфейсы поверхности атаки;
- подсистемы, включающие в себя модули, реализующие поверхность атаки (например, микросервисы, логически объединенные группы функций или компонентов, привлекаемые инфраструктурные компоненты).
Также указываются как минимум следующие характеристики модулей:- используемые языки программирования;
- выполнение модулем функции веб-сервиса;
- выполнение модулем функции среды выполнения для интерпретируемых языков программирования или языков программирования, компилируемых в промежуточное представление.
Пример графической нотации представлен в Приложении 3 к настоящей Методике. -
Задачами исследования являются:а) подготовка исследовательского стенда, обеспечивающего проведение исследований в соответствии с представлением об ОО и разработанной методикой проведения исследований (ПОД.1);б) подготовка специальных отладочных сборок ОО.Исходными данными при проведении исследования являются:
- исходные данные в соответствии с требованиями пункта 2.3 настоящей Методики;
- сведения, полученные по результатам анализа документации и иных исходных данных (ПОД.1).
-
1. В ходе исследований проверяется, что разработчиком ОО подготовлены специальные сборки ОО со встраиванием инструментальных датчиков срабатывания ошибок при компиляции модулей, подвергаемых динамическому анализу, для каждой среды функционирования, включенной в исследования в соответствии с пунктом 3.2 настоящей Методики.Испытательной лабораторией совместно с разработчиком ОО определяется перечень требуемых датчиков ошибок (ошибки работы с памятью, неопределенное поведение, нарушения потока управления и т.п.), исходя из технических возможностей, обусловленных используемыми в ОО языками программирования и средой функционирования.Если система (системы) сборки для выбранной среды (сред) функционирования не позволяет штатным образом встраивать такие датчики, допускается не подготавливать специальную отладочную сборку ОО, а использовать в динамическом анализе любые другие средства встраивания датчиков срабатывания ошибок, такие как динамическое двоичное инструментирование и динамическая компоновка либо запуск интерпретатора с дополнительными опциями.Если для языка исходных кодов ОО и среды его функционирования ряд типов датчиков срабатывания ошибок не применимы или отсутствуют, их использование не требуется.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.