Оформление результатов исследований по выявлению уязвимостей и НДВ
Раздел методики: 5
Применимость: все уровни контроля, в том числе уровень контроля 4
Кто оформляет: испытательная лаборатория
Нормативная основа: Положение о системе сертификации СЗИ (приказ ФСТЭК России от 03.04.2018 № 55)
Общий порядок оформления
Результаты проведения исследований по выявлению уязвимостей и НДВ ОО оформляются отдельным протоколом исследований.
Результаты в цифровой форме (конфигурации инструментов, журналы, базы данных анализаторов и т.п.) прилагаются к протоколу на одном или нескольких электронных носителях.
Протокол подписывается исследователем или группой исследователей, проводивших исследования по выявлению уязвимостей и НДВ. Исследователи несут ответственность за выводы, сделанные по результатам проведённых исследований.
Обязательная структура протокола (п. 5.2)
Протокол должен включать:
а) Общие положения, объект и цели исследований
- наименование и версия ОО
- цели и основание проведения исследований
- уровень контроля
б) Средства и условия проведения исследований
- перечень применённых инструментальных средств анализа с конфигурациями
- среды функционирования, в которых проводились исследования
- условия проведения исследований
в) Технические результаты выполненных исследований
- для каждого вида исследований (ПОД.1, ПОД.2, КАО.1, КАО.2, САО, ДАО.1, ДАО.2, ЭКО): подробные технические результаты
- в объёме, достаточном для подтверждения выполненных действий и пояснения достигнутых результатов
- конкретно: файлы конфигураций и журналы (логи) запуска инструментов анализа, журналы работы с результатами анализа, разметка результатов анализа, скриншоты
г) Результаты исследований
- выводы по каждому разделу исследований
- сводная оценка безопасности ОО
д) Перечень выявленных недостатков безопасности ОО
- по форме таблицы 6 Методики (см. ниже)
е) Выводы
- общий вывод о соответствии/несоответствии ОО требованиям уровня контроля
Форма фиксации выявленных недостатков (Таблица 6)
Каждый выявленный недостаток безопасности фиксируется в следующем формате:
| № п/п | Наименование недостатка | Наименование компонента ОО | Принятые разработчиком меры по устранению недостатка | Вердикт испытательной лаборатории о корректности устранения недостатка |
|---|---|---|---|---|
| 1 | ... | ... | ... | ... |
Сведения об уязвимостях ОО и его компонентов направляются разработчиком ОО в банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).
Требования к разметке предупреждений (п. 5.3)
Каждое размеченное предупреждение (от статического анализатора, динамического анализа, тестирования) должно быть снабжено конкретным обоснованным комментарием, поясняющим принятое решение.
Комментарий должен быть достаточен для того, чтобы другой участник процессов сертификационных испытаний мог понять основания для принятого решения без проведения тщательного анализа исходного кода или конфигурации ОО.
Недопустимые формы разметки (расцениваются как некачественно выполненная разметка):
- «Не эксплуатируемо»
- «Не несёт угроз безопасности информации»
- «Не применимо»
- Иные формулировки общего вида без конкретного обоснования
- Применение единообразной групповой разметки общего вида в отношении не полностью идентичных причин срабатывания анализатора
Дополнительные материалы, включаемые в протокол
В зависимости от выполненных разделов исследований, в протоколе (в составе электронных приложений) дополнительно фиксируются:
ПОД.1:
- Методика проведения исследований (с описанием поверхности атаки в графической нотации)
- Перечень анализируемых модулей (с обоснованием при самостоятельном расширении ИЛ)
- Описание выявленных расхождений между поверхностью атаки разработчика и результатами ИЛ
ПОД.2:
- Контрольные суммы дистрибутива ОО, исполняемых файлов и файлов исходных текстов (алгоритм «Стрибог», ГОСТ 34.11-2012)
- Результаты антивирусного контроля
- Результаты контролируемой сборки
- Перечень использованных датчиков срабатывания ошибок
САО:
- Конфигурации инструментов статического анализа, включая состав выборки проверяемых предупреждений
- Машиночитаемые результаты статического анализа (база данных и иные формы представления) и результаты разметки
- Исправления (патчи) истинных предупреждений либо иные свидетельства применения исправлений
- Список модулей с участками кода на неподдерживаемых языках или с ассемблерными вставками (с указанием языка и объёма в строках)
ДАО.1:
- Структурное покрытие для каждого тестируемого модуля
ДАО.2:
- Структурное покрытие для каждого тестируемого модуля
- Параметры сборки каждой фаззинг-цели
- Принципы формирования коллекций, правил, словарей
- Достигнутое структурное покрытие для каждой фаззинг-цели
КАО.2:
- Описание выполненных сценариев, результаты контроля сетевой активности
- Результаты динамического анализа специфических угроз (при усилении 1)
ЭКО:
- Перечень проверяемых программных ошибок и критерии их выявления
При внесении изменений в сертифицированный ОО
- Включаются результаты исследований, выполненных в соответствии с планом поддержки безопасности заимствованных компонентов сертифицированного ОО (п. 5.4 Методики).
Проверка артефактов результата
Формат для агента: протокол считается готовым только если каждый обязательный артефакт найден, открыт и связан с разделом исследования; неприменимость фиксируется явно.
| Артефакт | Что проверить | Критерий приемки |
|---|---|---|
| Протокол исследований | Есть разделы: общие положения, средства и условия, технические результаты, результаты исследований, перечень недостатков, выводы | Структура соответствует п. 5.2; протокол подписан исследователем или группой исследователей |
| Электронные приложения | Есть конфигурации инструментов, журналы запусков, журналы работы с результатами, разметка, скриншоты и иные цифровые материалы | Материалы приложены на одном или нескольких электронных носителях и открываются без дополнительных предположений |
| Комплект ПОД.1 | Методика/порядок исследований, графическая нотация поверхности атаки, перечень модулей, расхождения с разработчиком | По поверхности атаки прослеживаются интерфейсы, модули и подсистемы; указаны обязательные характеристики модулей |
| Комплект ПОД.2 | Акт отбора образцов, контрольные суммы, результаты антивирусного контроля, контролируемая сборка, перечень датчиков | Хэши рассчитаны по ГОСТ 34.11-2012; датчики и среды соответствуют динамическим исследованиям |
| Комплект КАО.1 | Открытые источники, проверка полномочий, SBOM/композиционный анализ, конфигурации, веб/контейнеры/браузерный код, безопасная сборка | Все найденные недостатки оформлены в таблице 6 или обоснованно сняты |
| Комплект КАО.2 | Сценарии, сетевые логи, результаты анализа сетевых и веб-интерфейсов, специфические угрозы | Есть минимум 3 сценария; по каждой утечке/НДВ есть вердикт |
| Комплект САО | Конфигурации анализаторов, выборка, машиночитаемые результаты, разметка, патчи, список неподдерживаемых языков/ассемблера | Числовые пороги выборки соблюдены; разметка содержит конкретные комментарии |
| Комплект ДАО.1 | Тесты, журналы, контрольная выборка, структурное покрытие каждого модуля | Выборка не менее 50 тестов и 5 модулей; покрытие УК 4 не менее 25% для каждого модуля |
| Комплект ДАО.2 | Фаззинг-цели, параметры сборки, коллекции/правила/словари, логи, покрытие, результаты передачи разработчику | Соблюдены пороги 2 новых или 3 доработанных целей, 2× эффективности и 2 часа без прироста |
| Комплект ЭКО | Область ручного анализа, перечень ошибок и критерии, результаты исходного и восстановленного кода | Типы ошибок а)-т) проверены или обоснованно неприменимы |
| Таблица 6 | Для каждого недостатка есть наименование, компонент, меры разработчика, вердикт ИЛ | Устраненные недостатки повторно проверены; сведения об уязвимостях подготовлены к направлению в БДУ ФСТЭК |
Чек-лист проверки протокола перед отправкой
Формат: каждый пункт проверяется как выполнено / не выполнено / неприменимо.
Блок 1: Структура протокола
- Протокол содержит раздел «Общие положения, объект и цели исследований».
- Протокол содержит раздел «Средства и условия проведения исследований».
- Протокол содержит раздел «Технические результаты выполненных исследований».
- Протокол содержит раздел «Результаты исследований».
- Протокол содержит «Перечень выявленных недостатков безопасности ОО» (Таблица 6).
- Протокол содержит раздел «Выводы».
- Протокол подписан исследователем (группой исследователей).
- Цифровые материалы приложены на электронных носителях.
Блок 2: Технические результаты
- Для каждого выполненного раздела исследований (ПОД.1, ПОД.2, КАО.1, КАО.2, САО, ДАО.1, ДАО.2, ЭКО) зафиксированы технические результаты в требуемом объёме.
- Приложены файлы конфигураций инструментов анализа.
- Приложены журналы (логи) запуска инструментов анализа.
- Приложены журналы работы с результатами анализа.
- Приложена разметка результатов анализа (с комментариями).
- Приложены скриншоты или иные свидетельства выполненных действий.
Блок 3: Качество разметки предупреждений
- Каждое размеченное предупреждение снабжено конкретным обоснованным комментарием.
- Отсутствуют комментарии в форме «Не применимо», «Не эксплуатируемо», «Не несёт угроз» без конкретного обоснования.
- Отсутствует единообразная групповая разметка для разных по причинам срабатываний предупреждений.
- Комментарии достаточны для понимания без анализа исходного кода (проверить на 3–5 предупреждениях).
Блок 4: Таблица недостатков (Таблица 6)
- Все выявленные недостатки безопасности занесены в таблицу.
- Для каждого недостатка: указано наименование, компонент ОО, принятые меры по устранению.
- Для каждого устранённого недостатка: зафиксирован вердикт испытательной лаборатории о корректности устранения.
- Информация об уязвимостях подготовлена к направлению в БДУ ФСТЭК (bdu.fstec.ru).
Блок 5: Дополнительные материалы по разделам
- ПОД.1: методика исследований с графической нотацией поверхности атаки приложена.
- ПОД.2: контрольные суммы (дистрибутив, исполняемые файлы, исходные тексты) зафиксированы в акте отбора образцов.
- ПОД.2: перечень датчиков срабатывания ошибок зафиксирован.
- САО: машиночитаемые результаты статического анализа и разметка приложены.
- САО: список модулей с неподдерживаемыми языками/ассемблерными вставками приложен.
- ДАО.1: структурное покрытие для каждого тестируемого модуля приложено.
- ДАО.2: параметры сборки, принципы формирования входных данных, покрытие каждой фаззинг-цели зафиксированы.
- ДАО.2: результаты фаззинга переданы разработчику ОО (факт передачи задокументирован).
- При внесении изменений в сертифицированный ОО: результаты по плану поддержки безопасности заимствованных компонентов включены в протокол.
Задачи СИ по данному разделу
Рабочий перечень задач для Redmine: Перечень_задач_СИ_М3.md
| Код задачи | Наименование |
|---|---|
| СИ-ПРОТ.01 | Подготовить раздел протокола: общие положения, объект и цели |
| СИ-ПРОТ.02 | Подготовить раздел протокола: средства и условия исследований |
| СИ-ПРОТ.03 | Подготовить технические результаты ПОД.1 и ПОД.2 |
| СИ-ПРОТ.04 | Подготовить технические результаты КАО.1 и КАО.2 |
| СИ-ПРОТ.05 | Подготовить технические результаты САО |
| СИ-ПРОТ.06 | Подготовить технические результаты ДАО.1 и ДАО.2 |
| СИ-ПРОТ.07 | Подготовить технические результаты ЭКО |
| СИ-ПРОТ.08 | Оформить таблицу выявленных недостатков (таблица 6) |
| СИ-ПРОТ.09 | Проверить качество разметки предупреждений |
| СИ-ПРОТ.10 | Собрать электронные приложения |
| СИ-ПРОТ.11 | Провести внутреннюю ревизию материалов СИ |
| СИ-ПРОТ.12 | Подготовить техническое заключение и комплект отправки |
| СИ-ПРОТ.13 | Отправить материалы СИ в орган по сертификации |