Дмитрий Костров:

А нужна «сертификация» на отсутствие НДВ?

Дмитрий Костров, член Правления АРСИБ

Многие специалисты знают о проблеме контроля исходного кода программных продуктов на отсутствие недекларированных возможностей. На слуху сертификация средств защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации № POCC RU.0001.01БИ00, которая проводится по требованиям регулятора (ФСТЭК России) – руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) по четырем уровням контроля. Есть и другие регуляторы, которые в той или иной мере работают с исходным кодом (Министерство обороны РФ и ФСБ РФ). Некоторые требования МО РФ и ФСТЭК РФ идентичны.

Для примера приведу виды испытаний, проводимых в системе сертификации средств защиты информации Министерства обороны Российской Федерации:

  • испытания соответствия реальных и декларируемых в документации функциональных возможностей изделия (РДВ);
  • испытания изделия на соответствие требованиям защищенности от несанкционированного доступа к информации;
  • контроль отсутствия недекларированных возможностей программного обеспечения (НДВ).

Одна из проблем – требования статьи 13 нового Приказа ФСТЭК России от 03.04.2018 №55 «Об утверждении Положения о системе сертификации средств защиты информации» (зарегистрировано в Минюсте России 11.05.2018 №51063), который действует с 1 августа 2018 г. В статья отмечается, что теперь сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации. Схема, когда регулятор разрешал проводить (в виде исключения) испытания по НДВ в специальных лабораториях в стране-производителе, уже не работает. Необходимо исходные коды привозить в Россию, что ставит под вопрос сертификацию по НДВ. Большинство производителей из США отказываются от этой интересной «миссии», что приводит к резкому снижению сертифицированных средств защиты информации иностранного производства. А основные перспективные заказчики требуют, чтобы программные средства, которые имеют встроенные функции безопасности, прошли сертификацию по ТУ, СВТ и т. п., а также НДВ. Это становится проблемой.

Проблемы для компаний-разработчиков, о которых они говорят, могут быть следующими: кража интеллектуальной собственности, применение выявленных уязвимостей против стран, которые используют те же средства защиты информации, нарушение экспортного контроля и т. п. В итоге – потеря выручки.

Не стоит забывать и про новый закон США – закон Маккейна ( H.R.5515 – John S. McCain National Defense Authorization Act for Fiscal Year 2019 ), который работает с 13 августа 2018 г. Согласно ему министерство обороны США (DOD) должно предоставить «черный» список стран с негативным опытом в области кибербезопасности. Закон требует, чтобы поставщики программного обеспечения DOD раскрывали все случаи за последние пять лет, когда поставщики программного обеспечения разрешили стране из черного списка тестировать исходный код любого продукта, который используется или, возможно, будет использоваться DOD. А также предоставить информацию о продуктах, которые проходили (реально) сертификацию на отсутствие НДВ с августа 2014 г. по настоящее время. Многие поставщики, переживая, что рынок США может от них отвернуться, отказываются от сертификации по НДВ.

Ничего личного, только бизнес.

С учетом применяемых сейчас технологий программирования типа объектно-ориентированное программирование (многие пишут на С++, Object Pascal, Delphi и т. п.) или наиболее популярный – CASE-технологии, возникают сомнения в правильности проведения проверок на НДВ в наше время (не говорю про прошлый век, когда и были выпущены сами требования).

При проверке на НДВ, например 4, достаточно уровня специалиста с опытом эксплуатации и администрирования персональных ПЭВМ под управлением операционных систем семейства Windows и Linux, программирования на языках C/C++/Java, а также эксплуатации программных средств контроля защищенности Сканер ВС, ФИКС, ФИКС-UNIX. Полнота и отсутствие избыточности исходных текстов контролируемого программного комплекса на уровне файлов. Испытания программного комплекса проводятся экспертно-инструментальным и экспертно-документальным методами.

Поиск известных уязвимостей обычно осуществляется по следующим источникам:

  • Банк данных угроз безопасности информации (http://bdu.fstec.ru/ubi/vul);
  • The Open Source Vulnerabilities Database (OSVDB) (http://www.osvdb.org/);
  • Common Vulnerabilities and Exposures (CVE) (http://cve.mitre.org/);
  • Secunia (http://secunia.com/advisories/);
  • SecurityFocus (http://www.securityfocus.com/bid/);
  • US-CERT United States Emergency Readiness Team (http://www.kb.cert.org/vuls/);
  • ICAT Metabase (http://icat.nist.gov/);
  • SecurityTracker (http://www.securitytracker.com/);
  • SCIP (http://www.scip.ch).

Ну, и надо ли это проводить?..





Добавить комментарий




 

ИД «Connect» © 2015-2019

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика