Оценка безопасности программного обеспечения

Оценка безопасности программного обеспечения

Оценка безопасности программного обеспечения — это процедура оценки защищенности ПО, опираясь на требования регуляторов в этой области.

Существует несколько видов оценки программного обеспечения, такие как:

• Проверка функций безопасности (функциональное тестирование).
• Проверка уязвимостей программного обеспечения и его среды функционирования (пентест).
• Фаззинг тестирование.
• Проверка уязвимостей исходного кода (статический и динамический анализ).

По результатам оценки безопасности программного обеспечения, как правило формируются отчетные документы, подтверждающие соответствие программного обеспечения определенным требованиям.

Состав отчетных документов зависит от формы оценки соответствия, по которой программное обеспечение было оценено. Но сразу уверенно можно сказать точно: для систем обязательной сертификации, состав отчетных документов, да и вообще сложность процедуры оценки — самая высокая и строгая, так как регламентирована самим государством.

 

Требования безопасности программного обеспечения

Начнем с того, что основным регулятором в области защиты конфиденциальной информации — это ФСТЭК России, который разрабатывает и утверждает требования к различным типам средств защиты информации и программному обеспечению.

Именно для программного обеспечения у ФСТЭК России на данный момент существует следующий набор требований к программному обеспечению:

• Требования к операционным системам (ОС)
• Требования к средствам контейнеризации (СК)
• Требования к средствам виртуализации (СВ)
• Требования к системам управления базами данных (СУБД)
• Требования к средствам обеспечения безопасной удаленной работы (СОБДР)

Вы спросите, а что делать если ПО иного типа?

Тогда необходимо формулировать требования по безопасности самостоятельно, опираясь на требования безопасности к информационным системам, где ПО будет применяться. Как это сделать, см. ниже.

 

Требования информационной безопасности к программному обеспечению

Перечень специально разработанных требований к программному обеспечению мы обозначили выше.

А что же делать, если разработанное программное обеспечение совершенно другого типа, например система электронного документооборота или веб-приложение?

В таком случае необходимо сформировать требования по безопасности самостоятельно.

 

Так как же это сделать?

Необходимо разработать документ под названием Технические условия (по ГОСТ 2.114-2016), в которых нужно привести требования к функциональным возможностям программного обеспечения.

Предвидим ваш вопрос: а откуда брать эти самые требования к функциональным возможностям?

Так из нормативной документации по безопасности информационных систем, в которых ваше программное обеспечение будет использоваться:

• ИСПДн: приказ ФСТЭК № 21
• ГИС: приказ ФСТЭК № 17
• АСУ ТП: приказ ФСТЭК № 31
• ИСОП приказ ФСТЭК № 489
• ЗОКИИ: приказ ФСТЭК № 239

Внимание: необходимо брать только те меры защиты, которые уже реализованы в вашем программном обеспечении. Т.е. речь не идет о том, чтобы программное обеспечение соответствовало всем требованиям по безопасности «от и до».

 

Для индивидуального расчета стоимости и сроков оценки безопасности программного обеспечения — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71

 

 

Формы оценки безопасности программного обеспечения

В настоящий момент в Российской Федерации, согласно ФЗ-184 «О техническом регулировании» — существует несколько форм подтверждения соответствия продукции требованиям регламентов:

• Обязательная сертификация
• Добровольная сертификация
• Декларирование соответствия

Что это за формы оценки безопасности программного обеспечения?

Все просто:

Обязательная сертификация — это сертификация в системе сертификации средств защиты информации, предназначенных для защиты государственной тайны, а также средств защиты конфиденциальной информации.

В стране их по факту всего три:

• Система сертификации ФСТЭК России № РОСС.RU.0001.01БИ00
• Система сертификации ФСБ России № РОСС RU.0003.01БИ00
• Система сертификации Министерства обороны № РОСС RU.0003.01ГШ00

Добровольная сертификация — это сертификация в одной из систем добровольной сертификации, зарегистрированных в Росстандарт.

Декларирование соответствия — это самостоятельное подтверждение безопасности программного обеспечения, опираясь на собственные тесты и доказательную базу.

 

Внимание: услуги по декларированию могут быть заказаны у профильной организации с соответствующей лицензией.

 

Сертификат безопасности программного обеспечения

Итак, давайте посмотрим — какие результирующие (итоговые) документы оформляются при той или иной форме оценки соответствия:
При обязательной сертификации — на выходе сертификат системы обязательной сертификации о соответствии программного обеспечения требованиям безопасности информации.

При добровольной сертификации — на выходе сертификат системы добровольной сертификации о соответствии программного обеспечения требованиям безопасности информации.

При декларировании соответствия — на выходе собственная декларация соответствия владельца (разработчика или эксплуатанта) программного обеспечения о соответствии требованиям безопасности информации.

А что же со сроками действия указанных документов?

Вот они:

Для обязательной сертификации — срок действия сертификата не может превышать 5 лет.

Для добровольной сертификации — срок действия сертификата не может превышать 5 лет.

Для декларирования соответствия — декларация соответствия может действовать бессрочно на протестированный релиз программного обеспечения, при условии выполнения условий по эксплуатации и устранения уязвимостей.

 

Системы оценки безопасности программного обеспечения

Как было озвучено выше, все зависит от формы оценки соответствия.

Если мы говорим о системе обязательной сертификации, то как было описано выше, в области оценки безопасности программного обеспечения, по факту, существует три системы сертификации:

• Система сертификации ФСТЭК России, которая регламентирована приказом ФСТЭК № 55.
• Система сертификации ФСБ России, которая регламентирована приказом ФСБ № 1.
• Система сертификации Министерства обороны, которая регламентирована приказом МО № 408.

Если же мы говорим о системах добровольной сертификации, то их перечень необходимо смотреть по ссылке.

Подробнее про сертификацию программного обеспечения во ФСТЭК смотрите по ссылке.

 

Для индивидуального расчета стоимости и сроков оценки безопасности программного обеспечения — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71

 

 

Требования к технической безопасности программного обеспечения

Как было сказано выше, в случае, если на ваше программное обеспечение у регуляторов в области защиты информации (ФСБ, ФСТЭК, Министерство обороны) отсутствуют специальные требования, то можно разработать:

• Задание по безопасности
• Технические условия

В которых и указать требования к технической безопасности программного обеспечения, которому оно должно соответствовать. Далее оценка безопасности программного обеспечения будет проводиться по одной из форм и данные требования будут проверены.

Технические условия разрабатываются по ГОСТ 2.114-2016

Задание по безопасности разрабатывается по Руководящему документу Гостехкомиссии России.

Указанные документы по сути равнозначны, так как их ключевое назначение — это установить требования к функциям безопасности программного обеспечения.

Однако их структура и стиль оформления — достаточно разные.

 

Сертификация программного обеспечения по требованиям безопасности

Ранее мы определили, что существует два варианта подтверждения соответствия в форме сертификации:

• Добровольная сертификация
• Обязательная сертификация

Поэтому, если речь идет об обязательной сертификации, то это значит, что сертификация будет проводиться в одной из систем обязательной сертификации:

• ФСТЭК России № РОСС.RU.0001.01БИ00
• ФСБ России № РОСС RU.0003.01БИ00
• Министерства обороны № РОСС RU.0003.01ГШ00

А как же определить в какой именно системе сертификации необходимо сертифицировать программное обеспечение?

Все просто:

Сертификат ФСБ — применяется на объектах высших органов власти, такие как Аппарат Правительства и Президент.

Сертификат ФСТЭК — применяется на всех остальных объектах РФ, начиная от федеральных органов исполнительной власти и заканчивая обычными коммерческими организациями (ООО, АО, ИП).

Сертификат МО — применяется только на объектах Министерства обороны.

 

Внимание: сертификаты не взаимозаменяемы, т.е. например на объекте МО не будет принят сертификат ФСТЭК и наоборот.

 

Требования к безопасности программного продукта

При определении требований безопасности к программному продукту — в первую очередь необходимо смотреть уже разработанные регуляторами требования по безопасности.

По линии ФСТЭК на сегодняшний день существует более 12 специальных требований:

• Требования к операционным системам (ОС)
• Требования к средствам антивирусной защиты (АВЗ)
• Требования к межсетевым экранам (МЭ)
• Требования к системам обнаружения вторжений (СОВ)
• Требования к средствам доверенной загрузки (СДЗ)
• Требования к средствам контроля съемных носителей информации (СКН)
• Требования к средствам защиты от DDOS атак (DDOS)
• Требования к многофункциональным межсетевым экранам (ММЭ)
• Требования к средствам контейнеризации (СК)
• Требования к средствам виртуализации (СВ)
• Требования к системам управления базами данных (СУБД)
• Требования к средствам обеспечения безопасной удаленной работы (СОБДР)

Если же ваше программное обеспечение иного типа, то не стоит расстраиваться.

Можно разработать свои собственные требования, опираясь на базовую нормативную документацию по безопасности информационных систем:

• ИСПДн: приказ ФСТЭК № 21
• ГИС: приказ ФСТЭК № 17
• АСУ ТП: приказ ФСТЭК № 31
• ИСОП приказ ФСТЭК № 489
• ЗОКИИ: приказ ФСТЭК № 239

Повторимся, что свои собственные требования формулируются в документе под названием «Технические условия» или «Задание по безопасности».

 

Что предлагаем мы?

Мы уже очень давно и профильно занимаемся оценкой программного обеспечения по безопасности.

Работаем в системах обязательной сертификации ФСБ, ФСТЭК и Министерства обороны.

Можем помочь с подготовкой программного обеспечения к сертификации и с самой сертификацией — проведем «за ручку» от и до в режиме одного окна.

Это сильно упрощает путь сертификации, который и так тернист и занимает в среднем 1-2 года.

Декларирование соответствия — процедура сильно проще и мы также можем помочь.

Качество нашей работы без сомнения высоко, что подтверждают бесчисленные отзывы крупнейших компаний России: благодарственные отзывы клиентов ООО ЦБИС.

 

Для индивидуального расчета стоимости и сроков оценки безопасности программного обеспечения — оставьте заявку или позвоните:

8(800)600-60-41 или 8(800)550-44-71