ГОСТ Р 58142-2018. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей

6 Действия по оценке уязвимостей

ГОСТ Р ИСО/МЭК 18045 определяет шаги оценивания и документирования для определения актуальных потенциальных уязвимостей:

6.1 Подвид деятельности по оценке (AVA_VAN.1)

Действие AVA_VAN.1.2E

AVA_VAN.1.2E Оценщик должен выполнить поиск информации в доступных источниках, чтобы идентифицировать потенциальные уязвимости в ОО.

Шаг оценивания AVA_VAN.1-3

В соответствии с ГОСТ Р ИСО/МЭК 18045

Оценщик должен исследовать доступные источники информации, чтобы идентифицировать потенциальные уязвимости в ОО.

Оценщик исследует доступные источники информации в целях идентификации возможных потенциальных уязвимостей в ОО. Существует множество доступных источников информации, которые необходимо рассмотреть оценщику. Например, списки рассылки и форумы безопасности в сети Интернет, в которых публикуется информация об известных уязвимостях конкретных ИТ.

Оценщик не должен ограничиваться рассмотрением доступной информации из вышеупомянутых источников: необходимо рассмотреть любую другую доступную информацию, имеющую отношение к уязвимостям ОО.

В процессе исследования предоставленных заявителем (разработчиком, производителем) свидетельств, оценщиком должна использоваться доступная информация для дальнейшего поиска потенциальных уязвимостей. Оценщику также необходимо особо рассмотреть всю доступную информацию, имеющую отношение к идентифицированным уязвимостям ОО.

Поиск доступной информации необходимо сосредоточить на тех источниках, которые относятся к конкретному продукту ИТ, принятому в качестве ОО. При определении требуемой области этого поиска необходимо рассмотреть следующие факторы: тип ОО, опыт оценщика для данного типа ОО, ожидаемый потенциал нападения и уровень (степень детализации) доступных свидетельств по классу ADV "Разработка".

Процесс идентификации является итерационным (повторяющимся), т.е. идентификация одной потенциальной уязвимости может привести к идентификации иных потенциальных недостатков, которые требуют дальнейшего исследования.

Оценщик приводит в отчете (сообщении) информацию о действиях, предпринятых им для идентификации потенциальных уязвимостей на основе доступной информации. Однако, осуществляя поиск уязвимостей на основе доступной информации, оценщик может не иметь возможности до начала анализа изложить шаги, которые он предпримет при идентификации потенциальных уязвимостей, поскольку подход к анализу может изменяться в зависимости от информации, выявленной в процессе поиска.

Оценщик приводит в отчете свидетельства, исследованные в процессе поиска потенциальных уязвимостей.

Детализация в соответствии с ИСО/МЭК ТО 20004

Оценщик должен провести анализ информации об уязвимостях, полученной:

а) из банка данных угроз безопасности информации (базы данных уязвимостей);

б) от уполномоченных федеральных органов исполнительной власти;

в) из иных источников (например, CVE, CWE).

Банк данных угроз безопасности информации размещен на официальном сайте ФСТЭК России (www.bdu.fstec.ru) и содержит информацию об уязвимостях различных классов (типов), выявленных в программном обеспечении (включая программное обеспечение средств защиты информации), применяемом в информационных системах.

Примечание - В ЗБ при изложении угроз безопасности информации, которым противостоит продукт ИТ, описываются используемые уязвимости на уровне классов (типов) уязвимостей. Оценщик, используя Банк данных угроз безопасности информации ФСТЭК России, осуществляет фильтрацию уязвимостей по наименованию (или типу программного обеспечения) и классу (типу) уязвимостей из ЗБ. Полученные описания уязвимостей используются оценщиком для дальнейшего анализа.

Уполномоченные федеральные органы исполнительной власти могут предоставить в испытательную лабораторию описание уязвимостей, характерных для типа изделия ИТ, заявленного на сертификацию, с учетом предполагаемой среды функционирования. Информацию об уязвимостях уполномоченный федеральный орган исполнительной власти может предоставить при выпуске решения на сертификацию или в процессе проведения сертификационных испытаний.

В качестве иных источников информации об уязвимостях могут выступать имеющиеся доступные источники (такие, например, как CVE, CWE).

Примечание - Общий перечень уязвимостей и рисков (Common Vulnerabilities and Exposures, CVE) является справочником общеизвестных уязвимостей программного обеспечения. Перечень CVE является широко применяемым индустриальным стандартом описания уязвимостей и рисков. Основу справочника составляют CVE-идентификаторы, которые обеспечивают основу баз данных уязвимостей инструментальных средств и сервисов, используемых для оценки защищенности систем.

Кроме того, существует независимый стандартизованный перечень потенциальных уязвимостей (недостатков) программного обеспечения в виде Общего перечня недостатков (Common Vulnerabilities and Exposures, CWE). Общий перечень недостатков CWE является разрабатываемым международным сообществом формализованным перечнем общих недостатков программного обеспечения. Перечень CWE обеспечивает наличие общего языка для описания недостатков программного обеспечения, стандартных единиц измерения инструментальных средств оценки защищенности, выявляющих эти уязвимости, основу для идентификации, уменьшения и предотвращения уязвимостей. Содержание перечня CWE пополняется для формирования стандартизированного механизма идентификации, сбора, совершенствования и распространения перечня недостатков программного обеспечения среди сообщества разработчиков.

Оценщик должен задокументировать идентифицированные при анализе уязвимости. Описание идентифицированных уязвимостей рекомендуется выполнять с учетом ГОСТ Р 56545 и ГОСТ Р 56546.

Для выполнения данного шага оценивания оценщик должен определить перечень уязвимостей, полученный из банка данных угроз безопасности информации (базы данных уязвимостей) и идентифицировать уязвимости для проведения анализа. Оценщик должен определить (в случае применимости) те уязвимости, которые он получил от уполномоченных федеральных органов исполнительной власти. Оценщик должен определить те уязвимости, которые он идентифицировал для проведения анализа из иных источников (например, CVE, CWE).

Примечание - При поиске информации оценщик должен учитывать, что ОО может быть продуктом ИТ, частью продукта ИТ, набором продуктов ИТ. Таким образом должен быть осуществлен сбор информации о продукте ИТ (продуктах ИТ), который (которые) частично или полностью охвачен (охвачены) объектом оценки. Более подробно принципы соотнесения понятий "объект оценки" и "продукт ИТ" приведены в ГОСТ Р ИСО/МЭК 15408-1.

Шаг оценивания AVA_VAN.1-4

В соответствии с ГОСТ Р ИСО/МЭК 18045

Оценщик должен привести в ТОО идентифицированные потенциальные уязвимости, которые подлежат тестированию и применимы к данному ОО в среде его функционирования.

Может быть установлено, что не требуется дальнейшее рассмотрение конкретной потенциальной уязвимости, если оценщик идентифицирует, что использующихся в среде функционирования мер защиты, относящихся или не относящихся к ИТ, достаточно для предотвращения возможности использования потенциальной уязвимости в данной среде функционирования. Например, ограничение физического доступа к ОО и предоставление такого доступа только уполномоченным пользователям может значительно снизить вероятность использования потенциальной уязвимости для несанкционированного вмешательства в процесс функционирования ОО.

Оценщик фиксирует любые причины исключения потенциальных уязвимостей из дальнейшего рассмотрения, если он делает заключение, что потенциальная уязвимость не применима в среде функционирования. Иначе оценщик фиксирует выявленную потенциальную уязвимость как уязвимость, предназначенную для дальнейшего рассмотрения.

Оценщик должен привести в ТОО перечень потенциальных уязвимостей, применимых к ОО в его среде функционирования, который может использоваться в качестве исходных данных для проведения тестирования проникновения.

Детализация в соответствии с ИСО/МЭК ТО 20004

Целью использования большого количества источников информации об уязвимостях является эксплуатация уязвимостей, которые могут быть актуальными для различных условий функционирования ОО. Для того чтобы ограничить множество потенциальных уязвимостей, используемых при оценке по требованиям безопасности информации, исходное множество потенциально актуальных уязвимостей должно быть отсортировано методом исключения уязвимостей, которые не являются актуальными из-за применяемых в среде функционирования ОО мер безопасности, предотвращающих наличие потенциальных уязвимостей в данной среде функционирования. Оценщик должен задокументировать обоснование каждого исключения уязвимости.

Используя указанные выше действия для сортировки уязвимости, уточняются шаги оценивания AVA_VAN.1-3 в части рассмотрения уязвимостей для ОО и формируется актуальный перечень уязвимостей.

Детализация шагов AVA_VAN.1-4 - AVA_VAN.1-10 - в соответствии с ГОСТ Р 58143-2018.

С учетом выполнения шагов AVA_VAN.1-4 - AVA_VAN.1-10 выполняется шаг AVA_VAN.1-11.

Шаг оценивания AVA_VAN.1-11

В соответствии с ГОСТ Р ИСО/МЭК 18045

Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимостях и остаточных уязвимостях, детализируя для каждой:

а) источник уязвимости (например, стала известна при выполнении действий ГОСТ Р ИСО/МЭК 18045, известна оценщику, прочитана в публикации);

б) связанные с уязвимостью невыполненные ФТБ;

в) описание уязвимости;

г) пригодна ли уязвимость для использования в среде функционирования (т.е. пригодна ли уязвимость для использования или является остаточной уязвимостью);

д) количество времени, уровень компетентности, уровень знания ОО, необходимый уровень доступа к ОО, оборудование, требуемые для использования идентифицированных уязвимостей, а также соответствующие значения, полученные на основе таблиц B.2 и B.3 приложения B.4 ГОСТ Р ИСО/МЭК 18045.

Детализация в соответствии с ИСО/МЭК ТО 20004

В дополнение к информации, изложенной в подпункте 14.2.1.6.7 ГОСТ Р ИСО/МЭК 18045, оценщик должен включить в ТОО следующую подробную информацию обо всех пригодных для использования уязвимостях и остаточных уязвимостях:

а) соответствующие идентификаторы уязвимостей (идентификатор, наименование, краткое описание);

б) идентификаторы шаблонов атак (идентификатор, наименование), используемые для доказательства подтверждения уязвимости.

Примечание - Оценщик (а также заявитель сертификации при разработке свидетельств) при определении количества времени, уровня компетентности, уровня знания ОО, уровня возможности доступа, оборудования, требуемых для использования идентифицированных уязвимостей, должен стремиться к сокращению субъективизма.

Могут существовать иные (по отношению к ГОСТ Р ИСО/МЭК 18045) методики определения потенциала нарушителя, необходимого для использования уязвимостей, результаты применения которых (при наличии соответствующих исходных данных) можно сравнивать с результатами по ГОСТ Р ИСО/МЭК 18045 для повышения объективности оценки.

Например, может применяться некоторая методика вычисления потенциала нарушителя, базирующаяся на показателях опасности уязвимости, изложенных в "Паспорте уязвимости" в соответствии с ГОСТ Р 56545.

6.2 Подвиды деятельности по оценке (AVA_VAN.2 - AVA_VAN.5)

Действие AVA_VAN.X.1E

AVA_VAN.X.1E Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.

Проверка выполнения требования AVA_VAN.X.1C

AVA_VAN.X.1C Документация анализа уязвимостей должна:

содержать результаты анализа, выполненного для поиска способов, которыми потенциально может быть нарушена реализация ФТБ;

идентифицировать проанализированные предполагаемые уязвимости;

демонстрировать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования ОО.

В соответствии с ГОСТ Р ИСО/МЭК 18045

Шаги оценивания не определены.

Детализация в соответствии с ИСО/МЭК ТО 20004

Шаг оценивания AVA_VAN.X-1

Оценщик должен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы сделать заключение, вся ли информация рассмотрена при поиске уязвимостей.

Оценщик должен убедиться, что разработчик провел анализ информации об уязвимостях, полученной из банка данных угроз безопасности информации (базы данных уязвимостей) и идентифицировал уязвимости для проведения анализа.

Оценщик должен определить (в случае применимости) те уязвимости, информацию о которых разработчик получил от уполномоченных федеральных органов исполнительной власти.

Оценщик должен определить те уязвимости, которые разработчик идентифицировал для проведения анализа из иных источников (например, CVE, CWE).

Для определения актуальных потенциальных уязвимостей оценщик должен самостоятельно изучить доступные источники для идентификации потенциальных уязвимостей.

Для выполнения данного шага оценивания оценщик должен провести исследование материалов анализа уязвимостей, выполненного разработчиком, а также самостоятельно определить перечень уязвимостей, полученный из банка данных угроз безопасности информации (базы данных уязвимостей) и идентифицировать уязвимости для проведения анализа.

Оценщик должен определить (в случае применимости) те уязвимости, информацию о которых он получил от уполномоченных федеральных органов исполнительной власти.

Оценщик должен определить те уязвимости, которые он идентифицировал для проведения анализа из иных источников (например, CVE, CWE).

Замечания по применению

По факту прохождения ОО сертификации, а также в процессе проведения сертификационных испытаний уполномоченный федеральный орган исполнительной власти может потребовать проверку отсутствия в ОО дополнительных уязвимостей, описание которых отсутствует в базе данных уязвимостей. При этом уполномоченный федеральный орган исполнительной власти предоставляет в испытательную лабораторию описание данных уязвимостей.

Шаг оценивания AVA_VAN.X-2

Оценщик должен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы сделать заключение, описана ли каждая идентифицированная уязвимость и дано ли обоснование того, почему она является непригодной для использования в предопределенной среде ОО.

Для выполнения данного шага оценивания оценщик должен провести исследование материалов анализа уязвимостей, выполненного разработчиком, и удостовериться в непригодности уязвимостей для использования.

Уязвимость считается непригодной для использования, если выполняется одно или более из следующих условий:

- уязвимость является пригодной для использования только нарушителями, обладающими высоким потенциалом нападения;

- в ЗБ либо не утверждается о противостоянии соответствующей угрозе, либо не утверждается о следовании политике безопасности организации, которая может быть нарушена.

Действие AVA_VAN.X.2E

Оценщик должен выполнить поиск информации в доступных источниках, чтобы идентифицировать потенциальные уязвимости в ОО.

Шаг оценивания AVA_VAN.X-3

В соответствии с ГОСТ Р ИСО/МЭК 18045

Оценщик исследует доступные источники информации, в целях идентификации возможных потенциальных уязвимостей в ОО. Существует множество доступных источников информации, которые необходимо рассмотреть оценщику. Например, доступные источники информации в сети Интернет, включая:

а) специальные публикации (журналы, книги);

б) результаты исследований.

Оценщик не должен ограничиваться рассмотрением доступной информации из вышеупомянутых источников, необходимо рассмотреть любую другую доступную информацию, имеющую отношение к уязвимостям ОО.

В процессе исследования предоставленных разработчиком свидетельств оценщиком должна использоваться доступная информация для дальнейшего поиска потенциальных уязвимостей. Оценщику также необходимо особо рассмотреть всю доступную информацию, имеющую отношение к идентифицированным уязвимостям ОО.

Оценщик приводит в отчете свидетельства, исследованные в процессе поиска потенциальных уязвимостей. Выбор свидетельств может осуществляться на основании идентифицированных оценщиком потенциальных недостатков безопасности, связанных с возможностью получения нарушителем конкретных свидетельств, или согласно другому обоснованию, предложенному оценщиком.

Детализация в соответствии с ИСО/МЭК ТО 20004

Оценщик должен идентифицировать потенциальные уязвимости в ОО, которые на его взгляд не были определены разработчиком ОО, для этого оценщик должен провести анализ информации об уязвимостях, полученной:

а) из банка данных угроз безопасности информации (базы данных уязвимостей);

б) от уполномоченных федеральных органов исполнительной власти;

в) из иных источников (например, CVE, CWE).

Шаг оценивания AVA_VAN.X-5

В соответствии с ГОСТ Р ИСО/МЭК 18045

Детализация в соответствии с ИСО/МЭК ТО 20004

Используя указанные выше действия для сортировки уязвимости, уточняются шаги оценивания AVA_VAN.X-3 в части рассмотрения уязвимостей для ОО и формируется актуальный перечень уязвимостей.

Детализация шагов AVA_VAN.X-5 - AVA_VAN.X-11 в соответствии с ГОСТ Р 58143-2018.

С учетом выполнения шагов AVA_VAN.X-5 - AVA_VAN.X-11 выполняется шаг AVA_VAN.X-12.

Шаг оценивания AVA_VAN.X-12

В соответствии с ГОСТ Р ИСО/МЭК 18045

б) связанные с уязвимостью невыполненные ФТБ;

в) описание уязвимости;

Детализация в соответствии с ИСО/МЭК ТО 20004

В дополнение к информации, изложенной в подпунктах 14.2.2.7.7, 14.2.3.7.7 и 14.2.4.7.7 ГОСТ Р ИСО/МЭК 18045, оценщик должен включить в ТОО следующую подробную информацию обо всех пригодных для использования уязвимостях и остаточных уязвимостях:

а) соответствующие идентификаторы уязвимостей (идентификатор, наименование, краткое описание);