ГОСТ Р 58142-2018. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей

5 Общие положения

 

Подраздел 15.1 ГОСТ Р ИСО/МЭК 15408-3 определяет "уязвимости, возникающие при разработке", как уязвимости, внесенные в ходе процесса разработки ОО, связанные с возможностью преодоления некоторых его свойств. В том же подразделе ГОСТ Р ИСО/МЭК 15408-3 определяется, что оценка уязвимостей, возникающих при разработке, охвачена семейством доверия "Анализ уязвимостей" (AVA_VAN). В соответствии с ГОСТ Р ИСО/МЭК 15408-3 ожидается, что данный анализ определит, могут ли идентифицированные потенциальные уязвимости нарушить выполнение ФТБ; при анализе учитывается угроза того, что нарушитель может выполнять поиск недостатков [как идентифицированных потенциальных уязвимостей] (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.1).

Компоненты семейства доверия AVA_VAN ранжированы следующим образом:

- AVA_VAN.1 "Обзор уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.3);

- AVA_VAN.2 "Анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.4);

- AVA_VAN.3 "Фокусированный анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.5);

- AVA_VAN.4 "Методический анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.6);

- AVA_VAN.5 "Усиленный методический анализ" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.7).

Компонент AVA_VAN.1 - младший по иерархии компонент в семействе доверия AVA_VAN, компонент AVA_VAN.5 - старший.

Текущая редакция ГОСТ Р ИСО/МЭК 15408 не предъявляет требований к заявителю (разработчику, производителю) по проведению анализа уязвимостей.

"AVA_VAN.4 Методический анализ уязвимостей

...

Элементы действий заявителя (разработчика, производителя)

AVA_VAN.4.1D Разработчик должен представить ОО для тестирования.

Элементы содержания и представления документированной информации (свидетельств)

AVA_VAN.4.1C ОО должен быть пригоден для тестирования.

..."

Для обеспечения преемственности требований и сохранения принятой технологии сертификации в профилях защиты, утвержденных ФСТЭК России, требования по проведению анализа уязвимостей заявителем (разработчиком, производителем) определяются путем выполнения уточнения над соответствующими компонентами ТДБ из семейства AVA_VAN:

"AVA_VAN.4 Методический анализ уязвимостей

...

Элементы действий заявителя (разработчика, производителя)

AVA_VAN.X.1D Заявитель (разработчик, производитель) должен выполнить анализ уязвимостей ОО.

Элементы содержания и представления документированной информации (свидетельств)

AVA_VAN.X.1C Документация анализа уязвимостей должна:

- содержать результаты анализа, выполненного для поиска способов, которыми потенциально может быть нарушена реализация ФТБ;

- идентифицировать проанализированные предполагаемые уязвимости;

- демонстрировать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования ОО.

...".

Детализация проверки указанных требований приводится в настоящем стандарте в рамках выполнения действий AVA_VAN.X.1E в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045.

Кроме того, в настоящем стандарте приводится детализация действий AVA_VAN.X.2E в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045 по поиску и идентификации потенциальных уязвимостей на основе доступных источников для анализа:

- в AVA_VAN.1.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.3.4.2);

- в AVA_VAN.2.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.4.4.2);

- в AVA_VAN.3.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.5.4.2);

- в AVA_VAN.4.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.6.4.2);

- в AVA_VAN.5.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.7.4.2).

ГОСТ Р ИСО/МЭК 18045 устанавливает конкретные шаги оценивания, связанные с действием "Идентификации потенциальной уязвимости в доступных источниках" (в подпунктах 14.2.1.5, 14.2.2.5, 14.2.3.5, 14.2.4.5) следующим образом.

AVA_VAN.1-3, AVA_VAN.2-3, AVA_VAN.3-3, AVA_VAN.4-3

Оценщик (испытательная лаборатория) должен исследовать доступные источники информации, чтобы идентифицировать потенциальные уязвимости ОО.

Возможность простого доступа нарушителя к информации, которая помогает идентифицировать уязвимости и облегчить нападение, существенно увеличивает потенциал нападения данного нарушителя. Доступность в сети Интернет информации об уязвимостях и современных средствах реализации атак позволяет с высокой степенью вероятности предположить, что данная информация будет использоваться при попытках идентифицировать потенциальные уязвимости в ОО и использовать их. Современные поисковые системы делают такую информацию легкодоступной оценщику, и заключение о стойкости ОО к нападениям с использованием опубликованных потенциальных уязвимостей, а также к хорошо известным типовым нападениям (атакам) может быть дано в терминах "эффективность-стоимость".

Поиск доступной информации необходимо сосредоточить на источниках, относящихся к конкретному продукту ИТ, на основании которого получен ОО. При определении требуемой широты поиска необходимо рассмотреть следующие факторы: тип ОО, опыт оценщика для проверки данного типа ОО, ожидаемый потенциал нападения и уровень доступных свидетельств по классу ADV "Разработка".

AVA_VAN.1-4, AVA_VAN.2-5, AVA_VAN.3-5, AVA_VAN.4-5

Оценщик должен привести в ТОО идентифицированные потенциальные уязвимости, которые являются предметом тестирования и применимы к данному ОО в среде его функционирования.

Может быть установлено, что не требуется дальнейшее рассмотрение конкретной потенциальной уязвимости, если оценщик идентифицирует, что использующихся в среде функционирования мер защиты, относящихся или не относящихся к ИТ, достаточно для предотвращения возможности использования потенциальной уязвимости в данной среде функционирования.

Оценщик фиксирует любые причины исключения потенциальных уязвимостей из дальнейшего рассмотрения, если он сделает заключение, что потенциальная уязвимость не применима в среде функционирования. В ином случае оценщик фиксирует выявленную потенциальную уязвимость для дальнейшего рассмотрения.

Оценщик должен привести в ТОО перечень потенциальных уязвимостей, применимых к ОО в его среде функционирования, который может использоваться в качестве исходных данных для действий по тестированию проникновения.

Как указано в пункте 14.2.5 ГОСТ Р ИСО/МЭК 18045, ГОСТ Р ИСО/МЭК 18045 не определяет шаги оценивания для компонента AVA_VAN.5.

Краткое изложение содержания действия оценщика "Идентификация потенциальной уязвимости в доступных источниках" приведено на рисунке 1.

 

 

Рисунок 1 - Описание действия оценщика "Идентификация

потенциальной уязвимости в доступных источниках"

 

Детализация действий, предусмотренных компонентами ТДБ семейства AVA_VAN, связанных с тестированием проникновения, в части поиска способов и методов тестирования приведена в ГОСТ Р 58143-2018.