Анализ уязвимостей прикладного ПО АС и приложений по требованиям к ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013

 

Наша команда предлагает услуги по анализу уязвимостей прикладного программного обеспечения АС и приложений для финансовых организаций, а также для организаций-разработчиков ПО.

 

Работы по анализу уязвимостей включают следующие этапы:

 

- Оценка полноты предоставленной документации. Разработка и доработка документации, необходимой для тестирования. Необходимо, чтобы информация, представленная заказчиком для анализа в виде документированных материалов удовлетворяла всем требованиям к содержанию и представлению документированной информации, изложенным в ГОСТ Р ИСО/МЭК 15408-3-2013;

 

- Поиск информации в общедоступных источниках с целью идентифицикации потенциальных уязвимостей в объекте оценке (ОО). Поиск осуществляется в таких источниках как:

а) база данных уязвимостей в составе банка данных угроз безопасности информации ФСТЭК России (www.bdu.fstec.ru);

уведомления Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России («ФинЦЕРТ» Банка России);

б) уведомления, публикуемые центрами реагирования на компьютерные инциденты (например, уведомления CERT), платежными системами (например, уведомления платежной системы VISA), производителями технических и программных средств (например, уведомления компании Oracle);

в) уведомления, публикуемые в общедоступных базах данных уязвимостей, а также распространяемые по подписке (например, www.cve.mitre.org);

г) сообщения об уязвимостях в ППО, направляемые сторонними специалистами в адрес организации БС Российской Федерации или публикуемые ими в общедоступных источниках, для чего рекомендуется предусматривать способы оперативной связи с соответствующими специалистами организации БС Российской Федерации.

 

- Независимый методический анализ уязвимостей ОО с использованием документации руководств, функциональной спецификации, проекта ОО, описания архитектуры безопасности и представления реализации, с целью идентифицикации потенциальных уязвимостей в ОО.  Анализ включает выявление типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей. При этом выявлению подлежат уязвимости кода и уязвимости конфигурации ОО. Идентификация потенциальных уязвимостей предусматривает формирование перечня предполагаемых, но не подтвержденных уязвимостей в ОО по результатам исследований доступных документированных материалов и источников информации об уязвимостях. Предположения основываются на допустимых сценариях реализации угроз безопасности информации в заданных средах функционирования ОО.

 

- Тестирование на проникновение, основанное на идентифицированных уязвимостях, с целью формирования заключения о том, что ОО является стойким к нападениям, выполняемым нарушителем, обладающим высоким потенциалом нападения.

 

При тестировании на проникновение исполнитель должен осуществлять поиск уязвимостей ОО, воспроизводя действия злоумышленника. Перед началом работ для исполнителя создаются условия, эквивалентные тем, в которых действует потенциальный злоумышленник.

 

Тестирование на проникновение подразделяется на исследования с предоставлением доступа к ОО и без предоставления такого доступа. При исследовании с предоставлением доступа разработчику предоставляются учетные записи для доступа к ОО. При исследовании без предоставления доступа к ОО задача самостоятельного получения учетных записей пользователей ОО является составной частью тестирования на проникновение. При необходимости тестирование проводится с разными правами доступа в ОО

 

Результатам работ являются:

1) Протокол анализа уязвимостей содержащий:

- перечень проанализированных источников информации;

- перечень идентифицированных потенциальных уязвимостей (с указанием источника информации, описанием, указанием последствий от использования нарушителем, минимального уровня компетентности нарушителя для подготовки и реализации уязвимости, времени, возможности по доступу, оборудования, требуемого ему для использования уязвимости);

- описание тестов и методик тестирования проникновения;

- результаты тестирования.

 

2) Отчет о тестировании на проникновение, содержащий:

- описание начальных условий исследования и постановку задачи;

- описание последовательности действий, которые приводили к выявлению уязвимостей или изменению возможностей исследователя, а также решения об отказе от выполнения запрашиваемых действий;

- описание выявленных уязвимостей, оценку степени их критичности;

- рекомендации по устранению выявленных уязвимостей;

- сведения об устранении уязвимостей.

 

Заключение по итогам анализа уязвимостей:

1) подтверждение соответствия прикладного ПО системы требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.

2) требования к программному окружению, в котором должна эксплуатироваться система.