Проведение оценки соответствия по ОУД4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013 предусмотрено Положениями Банка России:

• 719-П – для операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, реализующих усиленный и стандартный уровни ЗИ;
• 757-П – для некредитных финансовых организаций, реализующих усиленный и стандартный уровни ЗИ;
• 683-П (проект) – для кредитных организаций.

Положениями Банка России определены различные объекты для проведения оценки соответствия по ОУД4.

Согласно 719-П объектами для проведения оценки являются:

• прикладное ПО АС и приложения, распространяемые клиентам операторов по переводу денежных средств для совершения действий, непосредственно связанных с осуществлением переводов денежных средств;
• ПО, эксплуатируемое на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде (электронных сообщений), к исполнению в АС и приложениях с использованием сети «Интернет».

Согласно 757-П объектами для проведения оценки являются:

• прикладное ПО АС и приложения, распространяемые НФО своим клиентам для совершения действий в целях осуществления финансовых операций;
• ПО, обрабатывающее защищаемую информацию при приеме электронных сообщений к исполнению в АС и приложениях с использованием сети «Интернет».

Согласно 683-П объектами для проведения оценки являются:

• прикладное ПО АС и приложения, распространяемые кредитной организацией клиентам для совершения действий в целях осуществления банковских операций;
• ПО, обрабатывающее защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в АС и приложениях с использованием сети «Интернет».

1. Получение исходных данных от Заказчика:

• проектная документация;
• тестовая документация;
• исходных код прикладного программного обеспечения (далее – ППО). Код может передаваться как полностью (по защищенным каналам связи), так и, может быть, предоставлен доступ к виртуальной машине, на которой развернута среда для анализа исходных текстов.

2. Разработка требуемой документации

На данном этапе оценивается полнота предоставленной документации на ППО.В случае если при проверке исходных данных Заказчика будет отсутствовать полный комплект документации, то сотрудники Центра КиберБезопасности могут разработать/актуализировать документацию для оценки соответствия по ОУД4.

3. Оценка задания по безопасности

Задание по безопасности является основным документом при оценке соответствия и определяет условия проверки и критерии выполнения компонентов доверия. Задание по безопасности включает в себя следующие компоненты:

• введение ЗБ;
• цели безопасности;
• утверждения о соответствии;
• определение расширенных компонентов;
• производные требования безопасности;
• определение проблемы безопасности;
• краткая спецификация ППО.

4. Оценка проектной документации

Оценка проектной документации заключается в анализе описаний функций безопасности в:

• функциональной спецификации (описание интерфейсов функций безопасности);
• проекте ППО (описание архитектуры функций безопасности относительно выполнения заявленных функциональных требований);
• реализации функций безопасности (описание на уровне исходного кода).

5. Оценка документов «руководство пользователей» всех ролей, участвующих в работе с ППО

В рамках работ по оценке руководств проверяется достаточность документации, регламентирующей безопасность работы пользователя, администраторов и эксплуатационного персонала с ППО.

6. Оценка корректности процедур разработки и сопровождения ППО

Процедуры, применяемые разработчиком во время разработки и сопровождения ППО включают в себя:

• определение модели жизненного цикла;
• управление конфигурацией;
• меры безопасности во время разработки;
• инструментальные средства разработки;
• обработка недостатков безопасности;
• поставка ППО.

7. Проведение независимого тестирования работоспособности согласно заявленному заданию по безопасности

При проведении независимого тестирования определяется насколько ППО функционирует в соответствии с функциональной спецификацией, руководствами и заданием по безопасности.

7.1. Проведение анализа уязвимостей

В рамках анализа уязвимостей проводятся следующие работы:

• подтверждение соответствия представленной информации всем требованиям к содержанию и представлению свидетельств;
• поиск информации в общедоступных источниках для идентификации потенциальных уязвимостей в ППО;
• проведение анализа уязвимостей с использованием полученных свидетельств;
• проведение тестирования на проникновение.

7.2. Выявление уязвимостей по общедоступным источникам

В рамках выполнения данного этапа производится:

• изучение архитектуры и компонентов ППО;
• изучение технической и эксплуатационной документации и Задания по безопасности на предмет наличия потенциальных уязвимостей и слабостей;
• поиск в общедоступных источниках (включая БДУ ФСТЭК России) информации о возможных уязвимостях и слабостях компонентов ППО.

По результатам данного этапа составляется перечень выявленных возможных уязвимостей и слабостей, которые применимы к данному ППО в среде его функционирования, и разрабатываются рекомендации по устранению уязвимостей.

7.3. Анализ исходного кода

В рамках выполнения данного этапа работ производится:

• статический анализ исходного кода различными анализаторами;
• ручная верификация результатов автоматического анализа для исключения ложных оповещений.

В результате выполнения анализа исходного кода:

• составляется перечень выявленных возможных уязвимостей в исходном коде исследуемого ППО, проверка возможности эксплуатации уязвимостей будет оценена при проведении тестирования на проникновение;
• разрабатываются рекомендации по устранению выявленных уязвимостей.

7.4. Тестирование на проникновение

Тестирование на проникновение основывается на результатах, полученных на этапе анализа исходного кода ППО, и покажет, насколько реально получить несанкционированный доступ к информации извне.

8. Подготовка отчёта об исследовании

Результат работ — отчёт об анализе объекта оценки на соответствие требованиям к оценочному уровню доверия по ГОСТ Р ИСО/МЭК 15408-3-2013.

По итогам анализа уязвимостей оформляется отчет, содержащий:

• перечень исследованных компонентов объекта оценки и среды функционирования;
• перечень баз данных уязвимостей, которые были использованы при анализе;
• результаты анализа;
• идентификацию выявленных уязвимостей и их перечень с оценкой степени критичности;
• рекомендации по устранению выявленных уязвимостей и сведения об их устранении;
• демонстрацию отсутствия возможности использовать выявленные уязвимости.

9. Формирование технического отчета об оценке

По результатам оценки соответствия формируется технический отчет, в том числе включающий результаты оценки, выводы и рекомендации. Результаты оценки формируются как «соответствие/несоответствие» по отношению к заданию безопасности. Выводы по результатам оценки содержат информацию об удовлетворении ППО требованиям своего задания безопасности. Рекомендации могут указывать на недостатки продукта ИТ или упоминать о свойствах, которые особенно полезны.