Многие специалисты знают о проблеме контроля исходного кода программных продуктов на отсутствие недекларированных возможностей. На слуху сертификация средств защиты информации в системе сертификации средств защиты информации по требованиям безопасности информации № POCC RU.0001.01БИ00, которая проводится по требованиям регулятора (ФСТЭК России) – руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) по четырем уровням контроля. Есть и другие регуляторы, которые в той или иной мере работают с исходным кодом (Министерство обороны РФ и ФСБ РФ). Некоторые требования МО РФ и ФСТЭК РФ идентичны.
Для примера приведу виды испытаний, проводимых в системе сертификации средств защиты информации Министерства обороны Российской Федерации:
- испытания соответствия реальных и декларируемых в документации функциональных возможностей изделия (РДВ);
- испытания изделия на соответствие требованиям защищенности от несанкционированного доступа к информации;
- контроль отсутствия недекларированных возможностей программного обеспечения (НДВ).
Одна из проблем – требования статьи 13 нового Приказа ФСТЭК России от 03.04.2018 №55 «Об утверждении Положения о системе сертификации средств защиты информации» (зарегистрировано в Минюсте России 11.05.2018 №51063), который действует с 1 августа 2018 г. В статья отмечается, что теперь сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации. Схема, когда регулятор разрешал проводить (в виде исключения) испытания по НДВ в специальных лабораториях в стране-производителе, уже не работает. Необходимо исходные коды привозить в Россию, что ставит под вопрос сертификацию по НДВ. Большинство производителей из США отказываются от этой интересной «миссии», что приводит к резкому снижению сертифицированных средств защиты информации иностранного производства. А основные перспективные заказчики требуют, чтобы программные средства, которые имеют встроенные функции безопасности, прошли сертификацию по ТУ, СВТ и т. п., а также НДВ. Это становится проблемой.
Проблемы для компаний-разработчиков, о которых они говорят, могут быть следующими: кража интеллектуальной собственности, применение выявленных уязвимостей против стран, которые используют те же средства защиты информации, нарушение экспортного контроля и т. п. В итоге – потеря выручки.
Не стоит забывать и про новый закон США – закон Маккейна ( H.R.5515 – John S. McCain National Defense Authorization Act for Fiscal Year 2019 ), который работает с 13 августа 2018 г. Согласно ему министерство обороны США (DOD) должно предоставить «черный» список стран с негативным опытом в области кибербезопасности. Закон требует, чтобы поставщики программного обеспечения DOD раскрывали все случаи за последние пять лет, когда поставщики программного обеспечения разрешили стране из черного списка тестировать исходный код любого продукта, который используется или, возможно, будет использоваться DOD. А также предоставить информацию о продуктах, которые проходили (реально) сертификацию на отсутствие НДВ с августа 2014 г. по настоящее время. Многие поставщики, переживая, что рынок США может от них отвернуться, отказываются от сертификации по НДВ.
Ничего личного, только бизнес.
С учетом применяемых сейчас технологий программирования типа объектно-ориентированное программирование (многие пишут на С++, Object Pascal, Delphi и т. п.) или наиболее популярный – CASE-технологии, возникают сомнения в правильности проведения проверок на НДВ в наше время (не говорю про прошлый век, когда и были выпущены сами требования).
При проверке на НДВ, например 4, достаточно уровня специалиста с опытом эксплуатации и администрирования персональных ПЭВМ под управлением операционных систем семейства Windows и Linux, программирования на языках C/C++/Java, а также эксплуатации программных средств контроля защищенности Сканер ВС, ФИКС, ФИКС-UNIX. Полнота и отсутствие избыточности исходных текстов контролируемого программного комплекса на уровне файлов. Испытания программного комплекса проводятся экспертно-инструментальным и экспертно-документальным методами.
Поиск известных уязвимостей обычно осуществляется по следующим источникам:
- Банк данных угроз безопасности информации (http://bdu.fstec.ru/ubi/vul);
- The Open Source Vulnerabilities Database (OSVDB) (http://www.osvdb.org/);
- Common Vulnerabilities and Exposures (CVE) (http://cve.mitre.org/);
- Secunia (http://secunia.com/advisories/);
- SecurityFocus (http://www.securityfocus.com/bid/);
- US-CERT United States Emergency Readiness Team (http://www.kb.cert.org/vuls/);
- ICAT Metabase (http://icat.nist.gov/);
- SecurityTracker (http://www.securitytracker.com/);
- SCIP (http://www.scip.ch).
Ну, и надо ли это проводить?..
3 thoughts on “Дмитрий Костров: А нужна «сертификация» на отсутствие НДВ?”
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.
На проверку недокументированных возможностей сайтов, на мой взгляд, нужно бросить все силы, ведь это может быть опасно для обычного пользователя. Зайдет, например, какой-нибудь человек на сайт, оставит важную информацию о себе или еще что-то сделает через недокументированную ''полезную'' функцию, а разработчик эту функцию убирает со следующим обновлением и сохраняет себе собранные базы данных. Это угроза моей информационной безопасности, да и безопасности данных других людей, в общем. В целом, хорошо, что в Российской Федерации работают над СЗИ, придумывают новые законы, ведь эта очень актуальная проблема сегодня. Я хочу, чтобы цифровые технологии не позволяли никому украсть мои данные, чтобы никто не претендовал на информацию обо мне и о моей жизни. Я думаю, ФСТЭК могла бы ввести жесткие критерии введения сайта. К примеру, создание автором беглого видеообъяснения программного кода, а далее обычная проверка на НДВ. Кстати, цифровизация экономики тоже опасна, ведь, так называемая трансформация экономики, позволяет контролировать наши деньги.
Знаете, я, как постоянный пользователь сети Интернет, очень заинтересован в том, чтобы цифровая трансформация контролировалась законом, чтобы цифровизация технологий не вела к потере безопасности конфиденциальности. Исходный код программ обязательно должен подлежать проверке, как мне кажется, я не хочу, чтобы владельцы сайтов могли заниматься обработкой моих персональных данных, в обход закона, ведь недокументированные функции разработчик всегда может убрать с сайта, а данных пользователь, будто не давал, ведь именно так цифровизация и вредит пользователям. Я, на сегодня, конечно, не очень доволен работой ФСТЭК России, но поощряю их работу в этом направлении, я считаю, что им нужно жестче относиться к разработчикам сайтов, ведь интернет сейчас – очень опасная вещь, через которую можно причинить вред любому человеку, обмануть любого и даже обокрасть.
Технологии программирования растут с каждым днем, цифровая экономика давно вышла вперед перед обычной, информационные технологии развиваются, а недокументированные функции появляются постоянно и все в больших количествах. А пользователь ведь, даже не может определить задокументирована полезная функция или нет. Компьютерная безопасность очень важна, нельзя допускать, чтобы базы данных людей распространились по всему миру, поэтому ФСТЭК нужно радикальнее подойти к решению проблему: ввести несколько ступеней проверки на НДВ, проводить тщательные осмотры исходного кода, проводить детальное расследование опыта разработчиков кода и контролировать применение информационных технологий. Сайты будут всегда, а поэтому жесткий контроль важен для всех, иначе пользовательские данные перестанут быть конфиденциальными, участятся случаи интернет-грабежей и так далее, не нужно допускать засилья информационных технологий.