Проблема комплектности ПО и возможные варианты анализа по ОУД4

Ранее мы узнали, как определить ПО для анализа по ОУД4 и какой комплект документов и исходного кода надо подготовить. Сегодня поговорим о том, с какими проблемами можно столкнуться во время подготовки к работе, и рассмотрим варианты, которые предлагает Банк России для обеспечения соответствия их требованиям.

Для определения подхода к проведению анализа уязвимостей предлагаем еще раз взглянуть на все ПО, используемое или планируемое к использованию в вашей организации. Прежде, следует разделить ПО на две категории: приобретенное с доработками или без у вендора и собственное, созданное под себя. При этом собственное ПО может быть разработано как in-house, так и с привлечением сторонних разработчиков.

ПО от вендора

Если вы используете ПО от вендора, следует обратиться к нему и запросить сертификат ФСТЭК или отчет о соответствии ОУД4. Необходимо понимать, что разработчик может и не иметь таких документов или запросить оплату соответствующих услуг по сертификации и анализу уязвимостей, а может и вовсе отказаться от сотрудничества. Даже если вы предложите вендору самостоятельно сделать анализ уязвимостей, он может не предоставить исходный код или документацию для его проведения. По этой причине рекомендуем как можно раньше начать переговоры с разработчиками приобретенного ПО.

Собственное ПО

Как мы уже подробно описывали в предыдущей статье, для подготовки к анализу любого ПО следует проверить его комплектность: есть ли задание по безопасности (часть ТЗ с указанием тех функций безопасности, которые нужно разработать), руководства администраторов и пользователей, подробные описания архитектуры, API, форматов сообщений, конфигурационных файлов и, самое главное, есть ли исходные коды. 

Если у вас нет документации или исходного кода на разработанное для вас сторонней командой ПО, следует их запросить. На будущее рекомендуем принять у себя практику заказа документации и проверки наличия актуального исходного кода при приемке работ. Для ПО, созданного силами внутренней разработки, готовить документацию или восстанавливать исходный код придется своими силами.

Разработка собственного ПО в будущем

Если вы задумываетесь о разработке собственного ПО в будущем, у вас есть отличный шанс заранее предусмотреть предстоящие возможные проблемы и избежать их. Наша практика показывает, что вопрос комплектности ПО стоит остро: утеря исходного кода и бедная документация встречаются очень часто, поэтому этот вопрос заслуживает пристального внимания.

Чтобы его решить, необходимо начать внедрять в организацию процессы, при которых обеспечивается не только наличие полного набора документации и сохранность исходного кода, но и в целом развивается культура разработки ПО. Говоря о культуре разработки, мы имеем в виду принципы Software Development Life Cycle (SDLC). Об этом поговорим в одной из следующих статей с привязкой к анализу уязвимостей по требованиям ОУД4.

Какие варианты предлагает Банк России

После того, как вы разобрались с комплектностью ПО, можно приступать непосредственно к анализу уязвимостей. Первый возможный путь, о котором говорит Банк России, связан с сертификацией во ФСТЭК: алгоритм действий относительно прост и давно известен. Он начинается с подачи заявки во ФСТЭК и выбора испытательной лаборатории из аккредитованных ФСТЭК. После проведения испытаний лаборатория обращается в так называемый орган по сертификации (утвержденный ФСТЭК список организаций), который проверяет результаты работ и направляет итоговый отчет во ФСТЭК для выпуска сертификата. 

Этот путь привычен, но имеет несколько существенных недостатков. Во-первых, длительные сроки сертификации - будьте готовы потратить 1-2 года. Во-вторых, согласно положению о системе сертификации средств защиты информации от 3 апреля 2018 г. №55, уже из названия понятно, что ФСТЭК занимается средствами защиты информации, а не прикладным ПО. Это значит, что у ФСТЭК не разработаны профили защиты для такого ПО. Приказом от 30 июля 2018 г. №131 ФСТЭК установил собственные уровни доверия, не совпадающие с ОУД из ГОСТ Р 15408. Поэтому, на наш взгляд, путь сертификации ПО во ФСТЭК для выполнения требований Банка России во многих случаях будет избыточным и сложно реализуемым.

В качестве второго пути Банк России предлагает провести анализ уязвимостей ПО на соответствие ОУД4. Для банков этот путь может быть осуществлен только посредством привлечения внешнего подрядчика, имеющего лицензию ФСТЭК России на услуги в области технической защиты конфиденциальной информации. Положение 683-П в текущей редакции не оставляет им другого выбора, тем не менее уже подготовлен проект изменений в Положение, в котором кредитным организациям разрешат проводить анализ самостоятельно. НФО уже сейчас могут воспользоваться как услугами подрядчика, так и своими собственными силами – 684-П предоставляет им такую возможность. Подробнее об этом мы поговорим в наших следующих материалах.

***

AKTIV.CONSULTING — одно из бизнес-подразделений российской компании “Актив”, специализирующееся на услугах по консалтингу и аудиту информационной безопасности. Команда обладает экспертизой в вопросах построения систем защиты информации, проведения аудита безопасности и анализа соответствия стандартам.