• Текст документа
  • Статус
Действующий


ГОСТ Р 58143-2018

     
     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ


Информационная технология


МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ


Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045


Часть 2


Тестирование проникновения


Information technology. Security techniques. Refining software vulnerability analysis under GOST R ISO/IEC 15408 and GOST R ISO/IEC 18045. Part 2. Penetration testing



ОКС 35.020

Дата введения 2018-11-01

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 24 мая 2018 г. N 274-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ISO/IEC TR 20004:2015* "Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ИСО/МЭК 15408 и ИСО/МЭК 18045" (ISO/IEC TR 20004:2015 "Information technology - Security techniques - Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045", NEQ)
________________
* Доступ к международным и зарубежным документам, упомянутым здесь и далее по тексту, можно получить, перейдя по ссылке на сайт http://shop.cntd.ru. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Настоящий стандарт входит в комплекс стандартов, устанавливающих детализацию анализа уязвимостей программного обеспечения в части использования доступных источников для идентификации потенциальных уязвимостей и тестирования проникновения.

Настоящий стандарт содержит детализацию рекомендаций по планированию, выполнению и составлению отчетности тестирования проникновения объекта оценки на базе требований "Анализ уязвимостей" из ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Настоящий стандарт содержит руководство и процедуры тестирования проникновения, позволяющие получить согласованные воспроизводимые результаты при идентификации, оценке и описании уязвимостей.

Настоящий стандарт распространяется на деятельность оценщиков (испытательных лабораторий), использующих ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045, экспертов органов по сертификации, проверяющих выполнение шагов оценивания, а также заявителей на сертификацию, разработчиков средств защиты информации и программного обеспечения и другие группы пользователей, участвующих в процессе оценки средств защиты информации и программного обеспечения по требованиям безопасности информации.

Настоящий стандарт может использоваться следующим образом:

- оценщиками - при разработке тестов проникновения (как часть действий по оценке, требуемых в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045;

- разработчиками - при разработке своих тестов проникновения (как часть процесса разработки объекта оценки);

- заявителями сертификации - для понимания того, какие действия по тестированию будут выполняться в ходе оценки;

- разработчиками профилей защиты/заданий по безопасности - для четкого определения потенциалов нападения и шаблонов атак.

1 Область применения


Настоящий стандарт содержит руководство по планированию, выполнению и составлению отчетности тестирования проникновения объекта оценки на базе требований "Анализ уязвимостей" из ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. В частности, данный стандарт уточняет действия по тестированию проникновения, предусмотренные компонентами требований доверия к безопасности из семейства доверия AVA_VAN "Анализ уязвимостей" и описанные в ГОСТ Р ИСО/МЭК 18045, и обеспечивает более полное руководство по их выполнению. Настоящий стандарт включает процесс-ориентированное руководство и процедуры тестирования, необходимые для получения согласованных воспроизводимых результатов при идентификации, оценке и описании уязвимостей.

2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

ГОСТ Р ИСО/МЭК 18045-2013 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей

ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

ГОСТ Р 58142-2018 Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации потенциальных уязвимостей

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения


В настоящем стандарте применены термины по ГОСТ Р 58142, а также следующий термин с соответствующим определением:

3.1 фаззинг: Тестирование, использующее как корректные, так и случайные (включая некорректные) входные данные для проверки, устанавливающей, обрабатываются ли должным образом интерфейсом случайные входные данные или возникает ошибочная ситуация (ошибочное условие), указывающая (указывающее) на наличие недостатков при разработке (ошибки исходного кода) или при эксплуатации.

4 Обозначения и сокращения


В настоящем стандарте применены следующие обозначения:

ИФБО - интерфейс ФБО;

ОО - объект оценки;

ТДБ - требование доверия к безопасности;

ТОО - технический отчет по оценке;

ФБО - функциональные возможности безопасности ОО;

ФТБ - функциональное требование безопасности.

5 Общие положения


Подраздел 15.1 ГОСТ Р ИСО/МЭК 15408-3 определяет "уязвимости, возникающие при разработке", как уязвимости, внесенные в ходе процесса разработки ОО, связанные с возможностью преодоления некоторых его свойств. В том же подразделе ГОСТ Р ИСО/МЭК 15408-3 определяется, что оценка уязвимостей, возникающих при разработке, охвачена семейством доверия "Анализ уязвимостей" (AVA_VAN). В соответствии с ГОСТ Р ИСО/МЭК 15408-3 ожидается, что данный анализ определит, могут ли идентифицированные потенциальные уязвимости нарушить выполнение ФТБ; при анализе учитывается угроза того, что нарушитель может выполнять поиск недостатков [как идентифицированных потенциальных уязвимостей] (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.1).

Компоненты семейства доверия AVA_VAN ранжированы следующим образом:

- AVA_VAN.1 "Обзор уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.3);

- AVA_VAN.2 "Анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.4);

- AVA_VAN.3 "Фокусированный анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.5);

- AVA_VAN.4 "Методический анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.6);

- AVA_VAN.5 "Усиленный методический анализ" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.7).

Компонент AVA_VAN.1 - младший по иерархии компонент в семействе доверия AVA_VAN, компонент AVA_VAN.5 - старший.

Детализация действий, предусмотренных компонентами ТДБ семейства AVA_VAN, связанных с идентификацией потенциальных уязвимостей, приведена в ГОСТ Р 58142.

В настоящем стандарте приводится детализация действий оценщика в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045 при тестировании проникновения.

Оценщик должен провести тестирование проникновения, основанное на идентифицированных уязвимостях, чтобы сделать заключение, что ОО является стойким к нападениям, выполняемым нарушителем, обладающим:

- базовым потенциалом нападения в AVA_VAN.1.3.E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.3.4.3);

- базовым потенциалом нападения в AVA_VAN.2.4.E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.4.4.4);

- усиленным базовым потенциалом нападения в AVA_VAN.3.4.E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.5.4.4);

- умеренным потенциалом нападения в AVA_VAN.4.4.E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.6.4.4);

- высоким потенциалом нападения в AVA_VAN.5.4.E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.7.4.4).

ГОСТ Р ИСО/МЭК 18045 устанавливает конкретные шаги оценивания, связанные с действием "Тестирование проникновения" (в подпунктах 14.2.1.6, 14.2.2.7, 14.2.3.7, 14.2.4.7) следующим образом.

AVA_VAN.1-5, AVA_VAN.2-6, AVA_VAN.3-6, AVA_VAN.4-6

Оценщик должен разработать тесты проникновения, основываясь на проведенном независимом поиске потенциальных уязвимостей.

Тесты проникновения предназначены для того, чтобы оценщик мог сделать заключение о восприимчивости ОО, находящегося в своей среде функционирования, к потенциальным уязвимостям, идентифицированным в процессе поиска по источникам доступной информации. При этом текущая информация об известных потенциальных уязвимостях, предоставленная оценщику третьей стороной (например, органом по сертификации), рассматривается оценщиком наряду с обнаруженными в результате выполнения других действий по оценке потенциальными уязвимостями.

Не предполагается тестирование оценщиком на предмет наличия потенциальных уязвимостей помимо тех, для использования которых требуется:

- базовый потенциал нападения (в случае AVA_VAN.1-5);

- базовый потенциал нападения (в случае AVA_VAN.2-6);

- усиленный базовый потенциал нападения (в случае AVA_VAN.3-6); или

- умеренный потенциал нападения (в случае AVA_VAN.4-6).

AVA_VAN.1-6, AVA_VAN.2-7, AVA_VAN.3-7, AVA_VAN.4-7

Оценщик должен разработать тестовую документацию для тестов проникновения, основанных на перечне потенциальных уязвимостей; детализация этой документации должна быть достаточна для обеспечения воспроизводимости тестов.

Для каждой потенциальной уязвимости оценщик должен определить наиболее подходящий способ тестирования ОО. При этом должны быть рассмотрены:

а) ИФБО или другой интерфейс ОО, который будет использован для инициирования выполнения ФБО и наблюдения за результатом;

б) начальные условия, которые будут необходимы для выполнения тестирования (т.е. какие-либо конкретные необходимые объекты или субъекты и их атрибуты безопасности);

в) специальное оборудование для тестирования, которое потребуется либо для инициирования ИФБО, либо для наблюдения за ИФБО;

г) возможность использования при анализе уязвимости результатов ранее выполненных тестов (без их повторного проведения), когда результаты нападения являются очевидными.

AVA_VAN.1-7, AVA_VAN.2-8, AVA_VAN.3-8, AVA_VAN.4-8

Оценщик должен провести тестирование проникновения.

Оценщик использует документацию для тестов проникновения, подготовленную на шаге оценивания:

- AVA_VAN.1-5 (в случае AVA_VAN.1-7);

- AVA_VAN.2-6 (в случае AVA_VAN.2-8);

- AVA_VAN.3-6 (в случае AVA_VAN.3-8); или

- AVA_VAN.4-6 (в случае AVA_VAN.4-8)

как основу для выполнения тестов проникновения по отношению к ОО, но это не препятствует оценщику выполнить дополнительные специальные тесты проникновения.

AVA_VAN.1-8, AVA_VAN.2-9, AVA_VAN.3-9, AVA_VAN.4-9

Оценщик должен зафиксировать фактические результаты выполнения тестов проникновения.

AVA_VAN.1-9, AVA_VAN.2-10, AVA_VAN.3-10, AVA_VAN.4-10

Оценщик должен привести в ТОО информацию о результатах деятельности по тестированию проникновения, кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестирования.

AVA_VAN.1-10 и AVA_VAN.2-11

Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему анализу уязвимостей, чтобы сделать заключение, является ли ОО, находящийся в своей среде функционирования, стойким к действиям нарушителя, обладающего базовым потенциалом нападения.

Если результаты показывают, что ОО, находящийся в своей среде функционирования, имеет уязвимости, пригодные для использования нарушителем, обладающим меньшим, чем усиленный базовый, потенциалом нападения, то по этому действию (а именно, AVA_VAN.1.3E или AVA_VAN.2.4E) оценщиком делается отрицательное заключение.

Руководство, представленное в приложении В.4 ГОСТ Р ИСО/МЭК 18045, необходимо использовать для определения потенциала нападения, требуемого для использования конкретной уязвимости, и установления возможности использования уязвимости в предполагаемой среде функционирования.

AVA_VAN.3-11

Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему анализу уязвимостей, чтобы сделать заключение, является ли ОО, находящийся в своей среде функционирования, стойким к действиям нарушителя, обладающего усиленным базовым потенциалом нападения.

Если результаты показывают, что ОО, находящийся в своей среде функционирования, имеет уязвимости, пригодные для использования нарушителем, обладающим меньшим, чем умеренный, потенциалом нападения, то по этому действию (а именно, AVA_VAN.3.4E) делается отрицательное заключение.

Руководство, представленное в приложении В.4 ГОСТ Р ИСО/МЭК 18045, необходимо использовать для определения потенциала нападения, требуемого для использования конкретной уязвимости, и установления возможности использования уязвимости в предполагаемой среде функционирования.

AVA_VAN.4-11

Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему анализу уязвимостей, чтобы сделать заключение, является ли ОО, находящийся в своей среде функционирования, стойким к действиям нарушителя, обладающего умеренным потенциалом нападения.

Если результаты показывают, что ОО, находящийся в своей среде функционирования, имеет уязвимости, пригодные для использования нарушителем, обладающим меньшим, чем высокий потенциалом нападения, то по этому действию оценщика (AVA_VAN.4.4E) делается отрицательное заключение.

Руководство, представленное в приложении В.4 ГОСТ Р ИСО/МЭК 18045, необходимо использовать для определения потенциала нападения, требуемого для использования конкретной уязвимости, и установления возможности использования уязвимости в предполагаемой среде функционирования.

AVA_VAN.1-11, AVA_VAN.2-12, AVA_VAN.3-12, AVA_VAN.4-12

Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимостях и остаточных уязвимостях, детализируя для каждой:

а) ее источник (например, стала известна при выполнении действий ГОСТ Р ИСО/МЭК 18045; известна оценщику; прочитана в публикации);

б) связанные с ней невыполненные ФТБ;

в) описание;

г) пригодна ли она для использования в среде функционирования или нет (т.е., пригодна ли для использования или является остаточной уязвимостью);

д) количество времени, уровень компетентности, уровень знаний ОО, уровень возможности доступа, оборудование, требуемые для использования идентифицированных уязвимостей, а также соответствующие значения, полученные на основе таблиц В.2 и В.3 в приложении В.4 ИСО/МЭК 18045.

Примечание - Как указано в подпункте 14.2.5 ГОСТ Р ИСО/МЭК 18045, ГОСТ Р ИСО/МЭК 18045 не определяет шаги оценивания для компонента AVA_VAN.5.


Краткое изложение содержания действия оценщика "Тестирование проникновения приведено на рисунке 1.

ГОСТ Р 58143-2018 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения


Рисунок 1 - Описание действия оценщика "Тестирование проникновения"

Доступ к полной версии этого документа ограничен

Текст документа вы можете получить на ваш адрес электронной почты, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ГОСТ Р 58143-2018 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения

Название документа: ГОСТ Р 58143-2018 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения

Номер документа: 58143-2018

Вид документа: ГОСТ Р

Принявший орган: Росстандарт

Статус: Действующий

Опубликован: Официальное издание. М.: Стандартинформ, 2018 год
Дата принятия: 24 мая 2018

Дата начала действия: 01 ноября 2018
Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах