Оценочный уровень доверия (ОУД) программного обеспечения (далее – ПО) показывает, насколько оно соответствует требованиям безопасности, описанным в ГОСТ Р ИСО/МЭК 15408. Требования к ОУД4 сформулированы Центральным банком Российской Федерации (Банк России) в документах: 684-П, 683-П и 719-П.  Исходя из степени строгости выставляемых мер безопасности можно выделить 8 оценочных уровней доверия. В контексте требований Банка России речь идет об оценке выполнения требований ОУД4. Для ряда организаций (в том числе и коммерческих компаний), подотчетных Центробанку, рекомендуется проводить анализ уязвимостей программного обеспечения и информационных систем по оценочному уровню доверия не ниже ОУД4. Оценку соответствия по ОУД4 возможно рассматривать как альтернативу процедуре сертификации ПО по устаревшим требованиями ФСТЭК России на отсутствие НДВ. Так как сертификация – более длительная по времени и требующая больших трудозатрат процедура.

Кому нужно проводить оценку по ОУД4

Требования по анализу уязвимостей по ОУД4 распространяются на некредитные финансовые организации (НФО), кредитные финансовые организации и коммерческие банки. Таким образом, оценке по ОУД4 подлежат:

  • Автоматизированные системы, через которые осуществляются денежные переводы.

  • Системы дистанционного банковского обслуживания, включая программное обеспечение и приложения для банковских операций, системы «Клиент-банк», которые банки предоставляют клиентам. Анализу подлежат пользовательские и серверные части таких программных продуктов.

  • Программное обеспечение, приложения для банковских операций, системы «Клиент-банк», которые банки предоставляют клиентам. Анализу подлежат пользовательские и серверные части таких программных продуктов.

  • Программы, решения и сервисы для управления активами кредитных финансовых организаций и НФО. Сюда можно отнести также личные кабинеты пользователей в ИС организаций, системы приема платежей и так далее.

Оценка по ОУД4 может осуществляться и в отношении другого программного обеспечения и информационных систем, еcли оно соответствует хотя бы одному из двух критериев:

  1. Предоставляется клиентам банка, кредитной или некредитной финансовой организации.

  2. Доступно для неограниченного круга пользователей через интернет.

Кто может проводить такую оценку

Согласно пункту 6.1 положения 684-П ЦБ РФ, оценка осуществляется с привлечением сторонних организаций, у которых есть лицензия ФСТЭК на проведение подобных операций. Некредитные финансовые организации могут в ряде случаев проводить оценку своими силами. Такая возможность указана в последнем абзаце пункта 9 положения 684-П.

Что включает анализ уязвимостей по ОУД4

Это комплексный процесс, включающий следующие этапы:

  • Анализ корректности функций безопасности ПО, описанных в задании по безопасности.

  • Поиск уязвимостей программного обеспечения на основе сведений из общедоступных источников.

  • Анализ исходных кодов.

  • Тестирование на проникновение.

  • Подготовка отчета по результатам исследования.

При проведении оценки корректности реализации задания по безопасности (ЗБ) подвергаются анализу все функции исследуемой программы ПО как составной части ИС (информационной системы), от которых зависит безопасность. Здесь же описываются шаги по проведению проверки. Задание по безопасности – это своего рода проекция требований по защите, указанных в руководящих документах на конкретный исследуемый объект.

После проведения работ по анализу задания безопасности наступает этап поиска уязвимостей в исследуемом объекте (программном обеспечении или ИС) на основе общедоступных источников. Для этого используются различные источники:

  • Информация от разработчиков компонентов, фреймворков, библиотек, используемых при разработке исследуемого объекта.

  • Сведения от ФСТЭК и других контролирующих/регулирующих органов. Например, в перечне БДУ ФСТЭК перечислены уязвимости, в том числе содержащиеся в компонентах, применяемых в ПО, оценка которого проводится в рамках соблюдения требований ЦБ.

  • Профессиональные сообщества, комьюнити вокруг open-source-продуктов и другие общедоступные источники.

На следующем этапе анализируется исходный код объекта, исследуемого по оценочному уровню доверия 4. Здесь оценщики всегда используют SAST-инструменты для анализа. Статические анализаторы позволяют покрыть проверками до 100% исходного кода. Они находят проблемы не только в самих программах и информационных системах, но и в сторонних компонентах, библиотеках, фреймворках. Кроме того, SAST-анализ не требует развертывания отдельных сред для запуска приложений, проводится он довольно быстро – проблем с тем, чтобы уложиться в выделенное окно тестирования, не возникает. С помощью статического анализа исходных кодов выявляются различные проблемы и уязвимости, связанные с авторизацией, с сессиями и cookies, доступом к базам данных и так далее. При необходимости после завершения анализа SAST-инструментами проводится ручная верификация результатов, чтобы по максимуму исключить ложные оповещения. При обнаружении уязвимостей в исходном коде на этом этапе разрабатываются рекомендации по их устранению.

После анализа исходного кода приложения (или ИС), проходящего оценку по ОУД4, организуется тестирование на проникновение. С этой целью, как правило, разворачивается тестовый стенд – точная копия среды функционирования. На этом этапе параллельно с тестами на проникновение проводится динамический анализ, который может включать также поиск уязвимостей программного обеспечения методом фаззинга.

Заключительный этап – подготовка отчета с результатами проверки ИС / программного обеспечения на соответствие оценочному уровню доверия 4. В нем отображается перечень компонентов исследуемого объекта, сведения об использованных базах данных уязвимостей и других источниках, результаты, полученные в ходе анализа. В отчете указываются выявленные уязвимости с оценкой их степени критичности, а также рекомендации по их устранению.