+7 (495) 309-31-25 пн.-пт.: 10:00 - 17:00

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Анализ уязвимостей программного обеспеченияАнализ уязвимостей ПО (программного обеспечения) – процесс исследования программного продукта с целью установить, могут ли потенциальные уязвимости позволить злоумышленнику нарушить требования к конфиденциальности, целостности и доступности информации.

При анализе уязвимостей рассматриваются угрозы потенциальных действий нарушителя, способного обнаружить недостатки безопасности, которые позволят осуществить несанкционированный доступ к данным и функциональным возможностям, а также ограничивать санкционированные возможности других пользователей.

Где содержится требование проводить оценку (анализ) уязвимостей ПО?

Требования проводить анализ уязвимостей ПО содержатся в следующих положениях Банка России:

  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Подробнее Оценка соответствия по 382-П

  • Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

Подробнее Приведение в соответствие и оценка по 683-П для банка

  • Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для НФО (некредитных финансовых организаций) требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

Подробнее Приведение в соответствие и оценка по 684-П для НФО

Документами Банка России предусмотрено 2 варианта оценки уязвимостей:

  • Сертификация программного продукта в системе сертификации ФСТЭК России
  • Проведение анализа уязвимостей по требованиям к оценочному уровню ОУД 4, пункт 7.6 ГОСТ Р ИСО/МЭК 15408-3-2013.

Важно

Анализ необходимо проводить при каждой смене версии ПО.

Запрос коммерческого предложения

Какое ПО нужно оценивать на уязвимости по 382-П 684-П и 683-П?

В 382-П указано на необходимость проведении:

  • анализа уязвимостей прикладного программного обеспечения автоматизированных систем и приложений, которые используются для осуществления переводов денежных средств

683-П указывает на необходимость анализа уязвимостей в отношении

  • прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций
  • программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»

В 684-П говорится, что НФО должны проводить анализ уязвимостей в отношении

  • прикладного программного обеспечения автоматизированных систем и приложений, распространяемых НФО клиентам для совершения действий в целях осуществления финансовых операций
  • программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»

Таким образом, оценку уязвимостей необходимо проводить применительно к ПО, которое используется для оказания финансовых услуг.

В случае с банками к таким системам относятся:

  • АБС
  • Интерент-банк
  • Мобильный банк

и пр.

Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?

ГОСТ Р ИСО/МЭК 15408-3-2013. Данный стандарт определяет меры доверия, которые ранее применялись при сертификации средств защиты информации, при этом в настоящий момент он используется как лучшие практики, в том числе и для выявления уязвимостей программных продуктов. В состав мер доверия по ОУД4 входит компонент доверия AVA_VAN.3, именно по данному компоненту и работает эксперт проводящий оценку уязвимостей в соответствии с 682-П, 684-П и 683-П.

Оценщик (термин «оценщик» применяется в ГОСТ вместо привычного нам термина «эксперт») проводит тестирование проникновения с целью удостовериться в том, что потенциальные уязвимости не могут быть использованы в среде функционирования объекта оценки. Тестирование проникновения проводится оценщиком, исходя из потенциала нападения — усиленный базовый.

В соответствии 15.2.5 ГОСТ Р 15408-3 работы по компоненту доверия AVA_VAN.3 проходят по следующей схеме:

Элементы действий разработчика AVA_VAN.3.1D Разработчик должен представить объект оценки для тестирования
Элементы содержания и представления свидетельств AVA_VAN.3.1C Объект оценки должен быть пригоден для тестирования.
Элементы действий оценщика AVA_VAN.3.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
AVA_VAN.3.2E Оценщик должен выполнить поиск информации в общедоступных источниках, чтобы идентифицировать потенциальные уязвимости в объекте оценки.
AVA_VAN.3.3E Оценщик должен провести независимый анализ уязвимостей ОО с использованием документации руководств, функциональной спецификации, проекта, описания архитектуры безопасности и представления реализации, чтобы идентифицировать потенциальные уязвимости в объекте оценки.
AVA_VAN.3.4E Оценщик должен провести тестирование проникновения, основанное на идентифицированных уязвимостях, чтобы сделать заключение, что объект оценки является стойким к нападениям, выполняемым нарушителем, обладающим Усиленным базовым потенциалом нападения.

Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?

Более подробно работы по анализу уязвимостей регламентированы в ГОСТ Р 58143-2018. Данный стандарт описывает порядок действий оценщика при оценке компонента доверия AVA_VAN.3, а именно:

1) Разработать тесты для проверки наличия потенциальных уязвимостей с учетом соответствующего (AVA_VAN.3.4.E) потенциала нападения

2) Разработать тестовую документацию для тестов на проникновение для обеспечения воспроизводимости

3) Использовать шаги оценивания AVA_VAN.1-5 и AVA_VAN.1-6 в качестве основы для выполнения тестов

4) Зафиксировать результат тестирования

5) Привести в техническом отчете об оценке информацию, об усилиях оценщика по тестированию проникновения

6) Исследовать результаты тестирования и сделать отрицательное заключение по действию оценщика AVA_VAN.1.3.E, если результаты показали, что ПО не является стойким к нарушителю, обладающему базовым потенциалом нападения

7) Привести в техническом отчете об оценке информацию, обо всех пригодных для использования уязвимостях и остаточных уязвимостях

Аудит программного кода и проверка исходных кодов может быть частью процесса по анализу уязвимостей по ОУД4.

Важно! Приемлемым результатом работы оценщика является как обнаружение (выявление) уязвимостей, так и отсутствие выявленных уязвимостей

При этом, оценщик должен прикладывать значительные усилия для выявление максимального количества критичных уязвимостей и дефектов программного обеспечения. Для получения результата важно использовать не только сканеры уязвимостей, но и проводить исследование в «ручном» режиме. Очевидно, что поиск максимального количества опасных уязвимостей невозможен без высокой квалификации оценщика.

Отчет по анализу уязвимостей ПО

Результатом работы оценщика, таким образом, является:

  • Документация по тестированию программного обеспечения
  • Технический отчет об оценке (анализе) уязвимостей

Именно заключение, сделанное в данном отчете, дает право считать ПО соответствующим требованиям положений 382-П, 683-П или 684-П. В дальнейшем отчет используется для устранения уязвимостей, которые были выявлены в ходе аудита. По содержанию, в отчете от RTM Group в обязательном порядке содержится:

  1. Описание, предоставленного на исследование, программного обеспечения
  2. Описание хода исследования (процесса) выявления уязвимостей
  3. Методики и методы выявления уязвимостей
  4. Продукты и решения по анализа кода и анализу уязвимостей ПО, которые использовались при проведении исследования
  5. Список выявленных уязвимостей и дефектов программного продукта
  6. Описание выявленных уязвимостей и оценка их критичности
  7. Действия, которые необходимо предпринять для устранения выявленных уязвимостей
  8. Рекомендации по дальнейшим действиям

Дополнительные услуги по анализу уязвимостей

Внешние организации, являющиеся лицензиатами ФСТЭК России могут проводить следующие работы:

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Является постоянными Исполнителями работ по 382-П, 684-П, 683-П для российских банков, некредитных финансовых организаций, а также платежных систем
  • Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
  • Сроки проведения анализа уязвимостей программного продукта соответствия от 2 недель до 6 месяцев (в зависимости от сложности ПО)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Цена работ по анализу уязвимостей программного обеспечения

Наименование экспертизы Стоимость
Анализ уязвимостей программного обеспечения по ОУД4 от 150 000 рублей

Заказать работы по анализу уязвимостей программного обеспечения

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: +7 (495) 309-31-25
Время работы: пн-пт 10:00 — 17:00 (мск)
email: info@rtmtech.ru

Также можете заполните форму ниже.

Срок реакции на запрос по email или через форму — от 1 до 7 часов. Заявки принимаются круглосуточно.

Отзывы

АО «НВКбанк»
Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.