ГОСТ Р 58142-2018

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045

Часть 1

Использование доступных источников для идентификации потенциальных уязвимостей

Information technology. Security techniques. Refining software vulnerability analysis under GOST R ISO/IEC 15408 and GOST R ISO/IEC 18045. Part 1. Using of available information for identification of potential vulnerabilities

ОКС 35.020

Дата введения 2018-11-01

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 мая 2018 г. N 273-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ISO/IEC TR 20004:2015* "Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ИСО/МЭК 15408 и ИСО/МЭК 18045" (ISO/IEC TR 20004:2015 "Information technology - Security techniques - Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045", NEQ)

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт входит в комплекс стандартов, устанавливающих детализацию анализа уязвимостей программного обеспечения в части использования доступных источников для идентификации потенциальных уязвимостей и тестирования проникновения.

Настоящий стандарт уточняет и детализирует действия оценщика (испытательной лаборатории), изложенные в ГОСТ Р ИСО/МЭК 18045, выполняемые при анализе уязвимостей. Стандарт предназначен для совместного использования или в дополнение к ГОСТ Р ИСО/МЭК 18045. Уточнение, детализация и руководства, представленные в настоящем стандарте, не предназначены для выполнения всех требований, предъявляемых семейством AVA_VAN ГОСТ Р ИСО/МЭК 18045, и не ограничивают деятельность, осуществляемую оценщиком, но обеспечивают согласованность посредством детализации минимальных базовых действий оценки выполнения требований семейства AVA_VAN.

Настоящий стандарт распространяется на деятельность оценщиков (испытательных лабораторий), использующих ГОСТ Р ИСО/МЭК 18045, экспертов органов по сертификации, проверяющих выполнение шагов оценивания, а также заявителей на сертификацию, разработчиков средств защиты информации и программного обеспечения и другие группы пользователей, участвующих в процессе оценки средств защиты информации и программного обеспечения по требованиям безопасности информации.

     1 Область применения

Настоящий стандарт уточняет действия оценщика, определенные семейством доверия AVA_VAN ГОСТ Р ИСО/МЭК 18045, и представляет детализированное руководство по идентификации актуальных потенциальных уязвимостей при проведении оценки объекта оценки в соответствии с ГОСТ Р ИСО/МЭК 15408. В настоящем стандарте используется классификация уязвимостей в соответствии с ГОСТ Р 56546 и описание уязвимостей в соответствии с ГОСТ Р 56545.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

ГОСТ Р ИСО/МЭК 18045 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

ГОСТ Р 56545 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

ГОСТ Р 56546 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

ГОСТ Р 58143-2018 Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 верифицировать: Провести строгую детальную проверку с независимым определением ее достаточности.

Примечание - См. также термин "подтвердить". Термин "верифицировать" имеет более глубокий смысл. Он используется в контексте действий оценщика, когда требуются независимые усилия оценщика.

3.2 подтвердить: Декларировать, что что-то детально проверено с независимым определением достаточности.

Примечание - Требуемый уровень строгости зависит от типа рассматриваемого предмета. Данный термин применим только к действиям оценщика.

3.3 делать заключение: Подтвердить некоторое заключение, основанное на независимом анализе для достижения этого заключения.

Примечание - Использование данного термина подразумевает выполнение действительно независимого анализа, обычно в условиях отсутствия какого бы то ни было предшествующего анализа. Термин "делать заключение" отличается от терминов "подтвердить" или "верифицировать", которые предполагают необходимость проверки ранее выполненного анализа.

3.4 выбор: Выделение одного или нескольких пунктов из перечня в компоненте требований.

3.5 объект оценки: Совокупность программного, программно-аппаратного и/или аппаратного обеспечения, сопровождаемая руководствами.

3.6 потенциал нападения: Мера усилий, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя.

3.7 шаблон атаки: Способ (модель) использования уязвимости для реализации компьютерной атаки.

3.8 уязвимость: Недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

3.9 недостаток: Характеристика или свойство объекта оценки, которое при определенных условиях может способствовать внесению уязвимости в объект оценки.

3.10 обнаруженные потенциальные уязвимости: Потенциально уязвимые места объекта оценки, идентифицированные оценщиком при выполнении видов деятельности по оценке, которые могли бы быть использованы для нарушения функциональных требований безопасности.

3.11 пригодная для использования уязвимость: Уязвимое место объекта оценки, которое может быть использовано для нарушения функциональных требований безопасности в среде функционирования объекта оценки.

3.12 потенциальная уязвимость: Предполагаемый, но не подтвержденный недостаток объекта оценки.

Примечание - Предположение основывают на теоретически допустимой схеме нападения с целью нарушения функциональных требований безопасности.

3.13 остаточная уязвимость: Уязвимое место объекта оценки, которое не может быть использовано в среде функционирования объекта оценки, но которое может быть использовано для нарушения функциональных требований безопасности нарушителем с более высоким потенциалом нападения, чем предполагается в среде функционирования объекта оценки.

3.14 профиль защиты: Независимое от реализации изложение потребностей в обеспечении безопасности для некоторого типа объекта оценки.

3.15 задание по безопасности: Зависимое от реализации изложение потребностей в обеспечении безопасности для конкретного идентифицированного объекта оценки.

     4 Обозначения и сокращения

В настоящем стандарте применены следующие обозначения:

ЗБ - задание по безопасности;

ИТ - информационная технология;

ОО - объект оценки;

ТДБ - требование доверия к безопасности;

ТОО - технический отчет по оценке;

ФТБ - функциональное требование безопасности.

     5 Общие положения

Подраздел 15.1 ГОСТ Р ИСО/МЭК 15408-3 определяет "уязвимости, возникающие при разработке", как уязвимости, внесенные в ходе процесса разработки ОО, связанные с возможностью преодоления некоторых его свойств. В том же подразделе ГОСТ Р ИСО/МЭК 15408-3 определяется, что оценка уязвимостей, возникающих при разработке, охвачена семейством доверия "Анализ уязвимостей" (AVA_VAN). В соответствии с ГОСТ Р ИСО/МЭК 15408-3 ожидается, что данный анализ определит, могут ли идентифицированные потенциальные уязвимости нарушить выполнение ФТБ; при анализе учитывается угроза того, что нарушитель может выполнять поиск недостатков [как идентифицированных потенциальных уязвимостей] (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.1).

Компоненты семейства доверия AVA_VAN ранжированы следующим образом:

- AVA_VAN.1 "Обзор уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.3);

- AVA_VAN.2 "Анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.4);

- AVA_VAN.3 "Фокусированный анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.5);

- AVA_VAN.4 "Методический анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.6);

- AVA_VAN.5 "Усиленный методический анализ" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.7).

Компонент AVA_VAN.1 - младший по иерархии компонент в семействе доверия AVA_VAN, компонент AVA_VAN.5 - старший.

Текущая редакция ГОСТ Р ИСО/МЭК 15408 не предъявляет требований к заявителю (разработчику, производителю) по проведению анализа уязвимостей.

"AVA_VAN.4 Методический анализ уязвимостей

…

Элементы действий заявителя (разработчика, производителя)

AVA_VAN.4.1D Разработчик должен представить ОО для тестирования.