Перечень задач СИ — Уровень доверия 4

Навигация по методике: ← Главная страница (index) | ПОД.1 · ПОД.2 · КАО.1 · КАО.2 · САО · ДАО.1 · ДАО.2 · ЭКО · Протокол

Основа: исходный перечень 26.04.27 ЭТАЛОН_Список_задач_по_СИ.docx и методика ФСТЭК России от 12 мая 2026 г. «Методика выявления уязвимостей и НДВ в ПО» для 4-го уровня доверия.

Формат задач ориентирован на Redmine: каждая запись содержит краткое наименование, понятное описание, ожидаемый результат и привязку к разделу методики.

Система кодирования и приемки

• Код задачи строится по разделу работ: СИ-ПОД1.XX, СИ-ПОД2.XX, СИ-КАО1.XX, СИ-КАО2.XX, СИ-САО.XX, СИ-ДАО1.XX, СИ-ДАО2.XX, СИ-ЭКО.XX; для организационных, корректирующих, протокольных и сопровождающих работ используются СИ-ОРГ.XX, СИ-НЕД.XX, СИ-ПРОТ.XX, СИ-СОПР.XX.
• Поле Результат фиксирует конечный артефакт задачи: раздел протокола, электронное приложение, таблицу, журнал, матрицу, схему, ведомость или вердикт ИЛ.
• Поле Критерии приемки задает минимальный проверяемый объем: 100% объектов из согласованного перечня, числовые пороги методики, наличие ссылок на материалы и явный вердикт ИЛ.
• Трудоемкость дана ориентировочно в человеко-днях для ОО средней сложности; для крупного ОО, большого числа сред/архитектур, контейнеров, языков и фаззинг-целей оценку нужно масштабировать по фактическому объему.

Общие правила для всех задач

• Все задачи по ПОД.1, ПОД.2, КАО.1, КАО.2, САО, ДАО.1, ДАО.2 и ЭКО выполняются с фиксацией технических результатов в объеме, достаточном для включения в протокол исследований.
• Для каждого неприменимого требования фиксируется причина неприменимости.
• Все выявленные недостатки безопасности оформляются по форме таблицы 6 методики: наименование недостатка, компонент ОО, меры разработчика, вердикт испытательной лаборатории.
• При устранении недостатков в ходе исследований выполняется повторная проверка всех прямо или косвенно затронутых интерфейсов, компонентов, модулей и исходного кода.
• Инструментальные средства должны иметь функциональность, достаточную для выполнения методики, и не иметь ограничений по применению и адаптации на территории Российской Федерации.

Этап 0. Организация работ и запуск проекта

СИ-ОРГ.01 — Создать проект СИ в Redmine

Описание: создать проект, структуру этапов, версии/вехи, роли исполнителей и базовый набор задач по настоящему перечню.

Результат: проект Redmine создан; задачи заведены, назначены исполнители и сроки; в проекте есть ссылки на хранилище материалов.

Критерии приемки: созданы этапы 0-11, версии/вехи и роли; заведено 100% задач из перечня; у каждой задачи указан исполнитель, срок и ссылка на рабочее хранилище.

Методика: организационная задача.

Трудоемкость: 0,5 чел.-дн.

СИ-ОРГ.02 — Получить и зарегистрировать исходный комплект от заявителя

Описание: принять документацию, исходный код, дистрибутив, сборочную среду, SBOM, перечни контейнерных образов, результаты процессов безопасной разработки, тесты и конфигурации инструментов.

Результат: комплект загружен в рабочее хранилище; состав, версии, даты получения и контрольные суммы зафиксированы.

Критерии приемки: зарегистрированы 100% полученных файлов и документов; для каждого артефакта указаны версия, дата, источник и контрольная сумма; отсутствующие материалы внесены в запрос заявителю.

Методика: п. 2.3, ПОД.1, ПОД.2.

Трудоемкость: 1 чел.-дн.

СИ-ОРГ.03 — Вести журнал запросов и ответов с заявителем

Описание: регистрировать вопросы, замечания, недостающие материалы, ответы заявителя и решения испытательной лаборатории.

Результат: актуальный журнал коммуникаций; по каждому открытому вопросу есть статус, ответственный и срок.

Критерии приемки: журнал содержит 100% запросов и ответов; по каждому открытому пункту указан статус, ответственный и срок; закрытые пункты имеют ссылку на решение или материал.

Методика: все разделы — см. index.

Трудоемкость: 0,25 чел.-дн. в неделю

СИ-ОРГ.04 — Выполнять еженедельное информирование заявителя

Описание: готовить краткий статус по выполненным работам, открытым рискам, запросам к заявителю и плану на следующий период.

Результат: регулярные статусные сообщения сохранены в проекте.

Критерии приемки: подготовлено не менее 1 статуса в неделю; каждый статус содержит выполненные работы, риски, запросы и план; сообщения сохранены в Redmine.

Методика: организационная задача.

Трудоемкость: 0,25 чел.-дн. в неделю

Этап 1. ПОД.1 — Анализ документации и исходных данных

СИ-ПОД1.01 — Проверить полноту исходных данных

Описание: проверить наличие документации, исходного кода, сборочной среды, дистрибутива, результатов процессов ГОСТ Р 56939-2024, тестов, SBOM, перечня образов контейнеров и методик Центра исследований для open-source компонентов.

Результат: ведомость полноты исходных данных; перечень недостающих материалов и запрос заявителю.

Критерии приемки: проверены 100% материалов и объектов из согласованного перечня; результат содержит таблицу/схему/перечень с трассировкой к требованиям методики; по каждому расхождению указан вердикт ИЛ или запрос заявителю.

Методика: ПОД.1, п. 2.3.

Трудоемкость: 1 чел.-дн.

СИ-ПОД1.02 — Проверить качество исходных данных

Описание: оценить исходные данные на достоверность, полноту, актуальность и согласованность; выявить противоречия между документацией, кодом, дистрибутивом, SBOM и результатами разработчика.

Результат: заключение по качеству исходных данных; список расхождений и решений по ним.

Критерии приемки: проверены 100% материалов и объектов из согласованного перечня; результат содержит таблицу/схему/перечень с трассировкой к требованиям методики; по каждому расхождению указан вердикт ИЛ или запрос заявителю.

Методика: ПОД.1.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД1.03 — Проверить SBOM программных компонентов

Описание: проверить машиночитаемый перечень компонентов на соответствие CycloneDX 1.6/1.7 JSON и наличие обязательных полей, включая свойства GOST:attack_surface, GOST:security_function, purl, externalReferences и хэши STREEBOG-256 или STREEBOG-512 для исходных дистрибутивов.

Результат: отчет проверки SBOM; перечень ошибок формата и содержания.

Критерии приемки: SBOM проверен как CycloneDX 1.6/1.7 JSON; для 100% компонентов проверены обязательные поля, purl, ссылки, признаки поверхности атаки/ФБ и хэши STREEBOG-256/STREEBOG-512 где применимо.

Методика: ПОД.1, приложения 1 и 2.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД1.04 — Проверить перечень образов контейнеров

Описание: для контейнерного исполнения проверить перечень образов и ПО внутри образов на соответствие CycloneDX 1.6/1.7 JSON, наличие обязательных сведений и признаков поверхности атаки/ФБ.

Результат: отчет проверки контейнерного перечня; список несоответствий.

Критерии приемки: для 100% контейнерных образов проверены состав ПО, формат CycloneDX 1.6/1.7 JSON и признаки поверхности атаки/ФБ; неприменимость контейнеров явно зафиксирована.

Методика: ПОД.1, приложение 2.

Трудоемкость: 0,5-1,5 чел.-дн.

СИ-ПОД1.05 — Сформировать представление об объекте оценки

Описание: описать функциональные возможности, функции безопасности, режимы эксплуатации, структуру ОО, интерфейсы, компоненты, модули, файлы, сторонние компоненты, особенности сборочной среды и системы сборки.

Результат: рабочее описание ОО, пригодное для планирования исследований.

Критерии приемки: описание содержит: перечень ФВ и ФБ, режимы и параметры функционирования, структуру ОО на уровне интерфейсов/компонентов/модулей/файлов, сведения о сторонних компонентах и особенности сборочной среды; все разделы согласованы с документацией ОО и исходным кодом; расхождения с документацией указаны явно с вердиктом ИЛ или запросом заявителю.

Методика: ПОД.1.

Трудоемкость: 2-3 чел.-дн.

СИ-ПОД1.06 — Определить поверхность атаки ОО

Описание: сопоставить аппаратные, пользовательские и программные интерфейсы с модулями, обрабатывающими данные нарушителя; включить служебные, отладочные, удаленные, обновляющие и периодически доступные интерфейсы. Применить правила исключения: не включать интерфейсы, доступные только пользователям с максимальными и ненастраиваемыми привилегиями (например, фиксированная роль «главный администратор»); не включать интерфейсы, реализующие шифрование по требованиям ФСБ России непосредственно, — но включать интерфейсы, становящиеся доступными через них. Если набор привилегий административной роли является настраиваемым, соответствующие интерфейсы включать в поверхность атаки как доступные наименее привилегированному администратору.

Результат: описание поверхности атаки с трассировкой интерфейс -> модуль -> подсистема.

Критерии приемки: 100% аппаратных, пользовательских и программных интерфейсов сопоставлены с модулями и подсистемами; для каждого интерфейса указан признак непосредственной/периодической доступности.

Методика: ПОД.1, усиления 3 и 5.

Трудоемкость: 2-4 чел.-дн.

СИ-ПОД1.07 — Оформить поверхность атаки в графической нотации

Описание: подготовить схему, на которой показаны интерфейсы непосредственной поверхности атаки, реализующие их модули и подсистемы; для модулей указать языки, признак веб-сервиса и признак среды исполнения.

Результат: графическая схема поверхности атаки, приложенная к материалам исследований.

Критерии приемки: схема содержит 100% интерфейсов непосредственной поверхности атаки, модули и подсистемы; для модулей указаны язык, веб-признак и среда исполнения; схема приложена к материалам.

Методика: ПОД.1.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД1.08 — Проверить перечень анализируемых модулей

Описание: проверить, что в перечень включены модули поверхности атаки, модули ФБ, модули среды исполнения интерпретируемых языков, периодически доступные интерфейсы, интерфейсы обновления и критичные участки кода.

Результат: согласованный перечень анализируемых модулей; все добавления ИЛ задокументированы.

Критерии приемки: перечень включает 100% модулей поверхности атаки, ФБ, сред интерпретируемых языков, интерфейсов обновления и критичных участков; все добавления ИЛ имеют обоснование.

Методика: ПОД.1, усиления 2, 3, 4, 5.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД1.09 — Выделить критичные участки кода

Описание: проверить перечень критичных участков кода, взаимодействующих с данными нарушителя или имеющих высокую сложность; оценить обоснование разработчика и при необходимости скорректировать перечень.

Результат: перечень критичных участков кода с критериями выбора и обоснованием.

Критерии приемки: перечень охватывает участки, взаимодействующие с данными нарушителя (парсеры, анализаторы, веб-код) и имеющие высокую сложность по применённой метрике (цикломатическая, Холстед, Овиедо или иная); обоснование разработчика оценено — при несоответствии перечень скорректирован ИЛ с документированием добавлений; добавленные ИЛ участки включены в дальнейшие исследования.

Методика: ПОД.1, усиление 4.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД1.10 — Проанализировать сборочную среду на нестандартные модификации

Описание: выявить инструменты и действия, модифицирующие исходный, интерпретируемый, байт- или машинный код помимо стандартной компиляции и компоновки; оценить описание и обоснование безопасности от разработчика.

Результат: решение о возможности продолжения исследований; перечень затронутых модулей для САО или ЭКО.

Критерии приемки: выявлены все инструменты и действия нестандартной модификации; описание разработчика оценено на достоверность, полноту, актуальность и согласованность; решение ИЛ о возможности продолжения исследований задокументировано; если результатом модификации является код ВУ — затронутые модули переданы в САО; если байт-/машинный код — в ЭКО (с проверкой порога 10 000 инструкций).

Методика: ПОД.1, усиление 1.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД1.11 — Оценить объем байт-кода и машинного кода после модификаций

Описание: посчитать объем кода, полученного нестандартными модификациями; при превышении 10 000 инструкций зафиксировать невозможность дальнейших исследований.

Результат: расчет объема и решение ИЛ.

Критерии приемки: рассчитан объем кода после каждой нестандартной модификации; порог 10 000 инструкций проверен; решение ИЛ зафиксировано.

Методика: ПОД.1, усиление 1.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ПОД1.12 — Подготовить методику проведения исследований

Описание: описать для каждого вида исследований состав работ, инструменты, настройки, порядок действий, особенности ОО, поверхность атаки, перечень модулей и применимые усиления для 4 уровня доверия.

Результат: проект методики М3 или порядок исследований при внесении изменений в сертифицированный ОО.

Критерии приемки: методика содержит разделы по КАО.1, КАО.2, САО, ДАО.1, ДАО.2, ЭКО с конкретными инструментами, их версиями и настройками; учтены особенности языков ОО, типов внешних интерфейсов, механизмов защиты от исследований и применимые усиления 4-го уровня (ПОД.1: 1-5; ПОД.2: 1-2; КАО.1: 1-3; КАО.2: 1; ДАО.2: 1-5); графическая схема поверхности атаки и перечень модулей включены в методику; при внесении изменений в сертифицированный ОО — результаты ПОД.1 включены непосредственно в протокол.

Методика: ПОД.1.

Трудоемкость: 2-4 чел.-дн.

Этап 2. ПОД.2 — Подготовка исследовательского стенда

СИ-ПОД2.01 — Определить среды выполнения исследований

Описание: выбрать не менее одной среды для каждого семейства сред функционирования; для ОС, контейнеризации и виртуализации определить семейства по правилам методики и выбрать среду с наименьшим защитным потенциалом.

Результат: перечень сред с обоснованием выбора.

Критерии приемки: выбрана не менее 1 среды для каждого семейства; для ОС, контейнеризации и виртуализации обоснован выбор среды с наименьшим защитным потенциалом.

Методика: ПОД.2.

Трудоемкость: 1-2 чел.-дн.

СИ-ПОД2.02 — Развернуть исследовательский стенд

Описание: установить выбранные среды, инструменты анализа, средства контроля, ОО и его зависимости; обеспечить защиту целостности ОО, среды и результатов исследований.

Результат: стенд готов к исследованиям; конфигурация, версии и меры защиты описаны.

Критерии приемки: все выбранные среды функционирования и инструменты развёрнуты и настроены в соответствии с их эксплуатационной документацией; реализованы меры защиты целостности ОО и среды, а также ограничения несанкционированного доступа к результатам исследований; версии, настройки и контрольные суммы ключевых компонентов стенда зафиксированы; по каждому отклонению от документации указан вердикт ИЛ.

Методика: ПОД.2.

Трудоемкость: 2-5 чел.-дн.

СИ-ПОД2.03 — Выполнить контролируемую сборку ОО

Описание: собрать дистрибутив ОО под контролем ИЛ; проверить отсутствие обращений к артефактам вне репозитория разработчика, использования непроанализированного кода и исполняемых файлов, не собираемых из исходников.

Результат: журнал контролируемой сборки и решение о возможности продолжения исследований.

Критерии приемки: журнал сборки приложен; подтверждено отсутствие: обращений к артефактам за пределами репозитория разработчика, непроанализированного кода в сборочном процессе, исполняемых файлов дистрибутива не из исходников; при выявлении любого из перечисленных фактов зафиксировано решение ИЛ (недостаток безопасности / невозможность продолжения исследований).

Методика: ПОД.2.

Трудоемкость: 1-3 чел.-дн.

СИ-ПОД2.04 — Установить и настроить ОО в выбранных средах

Описание: установить дистрибутив в соответствии с руководством по безопасной установке и настройке; зафиксировать шаги, параметры, учетные записи, роли и состояния стенда.

Результат: отчет установки и настройки ОО по каждой среде.

Критерии приемки: установка выполнена строго по руководству по безопасной установке и настройке для каждой выбранной среды; зафиксированы все шаги, параметры конфигурации, учётные записи и роли; состояние стенда после установки задокументировано; отклонения от руководства отражены с вердиктом ИЛ.

Методика: ПОД.2.

Трудоемкость: 1-3 чел.-дн.

СИ-ПОД2.05 — Проконтролировать сетевые взаимодействия при установке

Описание: выполнить захват сетевой активности при установке и настройке ОО; выявить недекларированные сетевые обращения или обращения к ресурсам среды.

Результат: сетевые логи и заключение; недекларированные взаимодействия оформлены как недостатки.

Критерии приемки: сетевой захват выполнен для каждой выбранной среды в ходе установки и настройки ОО; все выявленные сетевые взаимодействия сопоставлены с декларируемыми в документации ОО; недекларированные обращения к сетевым ресурсам или ресурсам среды оформлены как недостатки безопасности по таблице 6; сетевые дампы и заключение приложены к материалам.

Методика: ПОД.2.

Трудоемкость: 0,5-1,5 чел.-дн.

СИ-ПОД2.06 — Провести антивирусный контроль

Описание: проверить дистрибутив, все файлы установленного ОО и среду функционирования не менее чем двумя сертифицированными средствами антивирусной защиты разных разработчиков с актуальными базами; для контейнеров и ВМ использовать снапшоты файловых систем. При отсутствии сертифицированных АВ для конкретной среды функционирования допускается применять иные средства антивирусной защиты — с фиксацией причины отступления.

Результат: отчет антивирусного контроля.

Критерии приемки: дистрибутив, установленный ОО и среда проверены не менее чем 2 средствами АВЗ разных разработчиков с актуальными базами; использованы сертифицированные средства либо зафиксирована причина применения несертифицированных; для контейнеров/ВМ использованы снапшоты файловых систем; результаты приложены.

Методика: ПОД.2.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ПОД2.07 — Рассчитать контрольные суммы

Описание: рассчитать хэши дистрибутива, исполняемых файлов установленного ОО и файлов исходных текстов по ГОСТ 34.11-2012, сравнить с документацией ОО. Расчёт выполнять средствами сертифицированной операционной системы либо сертифицированным средством контрольного суммирования; для контейнеров и ВМ — относительно снапшотов файловых систем.

Результат: ведомость контрольных сумм для протокола и акта отбора образцов.

Критерии приемки: для 100% исходных текстов, дистрибутивов и исполняемых файлов рассчитаны хэши ГОСТ 34.11-2012 (СТРИБОГ); расчёт выполнен средствами сертифицированной ОС или сертифицированным средством КС — инструмент и его реквизиты указаны; расхождения с документацией разобраны с вердиктом ИЛ.

Методика: ПОД.2.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ПОД2.08 — Подготовить отладочные сборки с датчиками ошибок

Описание: совместно с разработчиком подготовить специальные сборки для динамического анализа с датчиками ошибок памяти, неопределенного поведения, нарушений потока управления и других применимых ошибок.

Результат: перечень отладочных сборок, сред, архитектур, датчиков и способов инструментирования.

Критерии приемки: проверены 100% выбранных сред, сборок и артефактов стенда; версии, настройки, контрольные суммы и журналы приложены; по каждому отклонению указан вердикт ИЛ.

Методика: ПОД.2, усиление 1.

Трудоемкость: 1-3 чел.-дн.

СИ-ПОД2.09 — Обеспечить динамический анализ для всех процессорных архитектур

Описание: проверить, что стенд и отладочные сборки позволяют выполнять ДАО.1, ДАО.2 и КАО.2 для каждой процессорной архитектуры среды функционирования ОО.

Результат: матрица сред и архитектур; неприменимые архитектуры обоснованы.

Критерии приемки: матрица покрывает 100% процессорных архитектур среды функционирования; для неприменимых архитектур есть обоснование; подтверждена готовность ДАО.1, ДАО.2 и КАО.2.

Методика: ПОД.2, усиление 2.

Трудоемкость: 0,5-1 чел.-дн.

Этап 3. КАО.1 — Статический анализ архитектуры

СИ-КАО1.01 — Проверить полномочия ОО и его компонентов

Описание: проверить права, привилегии, разрешения и политики для файлов, модулей, процессов, интерпретаторов, веб-серверов, серверов приложений и контейнеров.

Результат: матрица полномочий; избыточные полномочия оформлены как недостатки.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.02 — Собрать сведения из открытых источников

Описание: проверить БДУ ФСТЭК, отечественные базы, CVE, CWE, CAPEC, публикации, форумы и исследования по ОО и аналогичному ПО.

Результат: обзор открытых источников с вердиктом применимости каждой найденной уязвимости.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.03 — Проверить результаты композиционного анализа разработчика

Описание: оценить SBOM, результаты поиска известных уязвимостей заимствованных компонентов и компенсирующие меры; отдельно проверить компоненты среды функционирования.

Результат: заключение по композиционному анализу; актуальные уязвимости оформлены как недостатки либо закрыты компенсирующими мерами.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1, усиление 1.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.04 — Проверить анализ конфигурации ОО

Описание: оценить результаты автоматизированного анализа конфигурации ОО и модулей; проверить учет требований безопасности в архитектуре.

Результат: заключение по конфигурации; уязвимости конфигурации оформлены как недостатки.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.05 — Проверить выборку предупреждений анализаторов разработчика

Описание: при пригодности результатов разработчика проверить не менее 10 предупреждений для каждого анализатора; по сторонним компонентам поверхности атаки подтвердить отсутствие актуальных уязвимостей или наличие компенсирующих мер. Если представленные разработчиком результаты анализа архитектуры статическими методами не отвечают требованиям методики, передать исполнение самостоятельного КАО.1 в задачу СИ-КАО1.12.

Результат: протокол выборочной проверки с вердиктами ИЛ; при непригодности результатов — обоснованное решение о переходе к СИ-КАО1.12.

Критерии приемки: проверено не менее 10 предупреждений для каждого пригодного анализатора; по 100% предупреждений указан вердикт ИЛ; применимость уязвимостей сторонних компонентов подтверждена или закрыта компенсирующими мерами; при непригодности результатов разработчика явно зафиксировано основание и открыта задача СИ-КАО1.12.

Методика: КАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.12 — Выполнить самостоятельный КАО.1 при несоответствии результатов разработчика

Описание: если результаты разработчика по КАО.1 не отвечают требованиям методики (п. 4.1.2), испытательная лаборатория самостоятельно выполняет анализ архитектуры ОО статическими методами: анализирует открытые источники, полномочия, SBOM и конфигурации, применяет собственные анализаторы с выборкой не менее 10 предупреждений на анализатор, проверяет веб-интерфейсы и контейнерные конфигурации, анализирует комментарии. При невозможности полноценного самостоятельного исследования принимает решение о невозможности продолжения.

Результат: результаты самостоятельного КАО.1 ИЛ или обоснованное решение о прекращении исследований.

Критерии приемки: самостоятельный КАО.1 выполнен в полном объёме требований п. 4.1.2 методики: открытые источники, полномочия, SBOM, конфигурации, выборки предупреждений (не менее 10 на анализатор), веб- и контейнерные поверхности, комментарии; результаты оформлены в том же объёме, что и при использовании материалов разработчика; при невозможности — решение ИЛ задокументировано.

Методика: КАО.1.

Трудоемкость: 3-8 чел.-дн.

СИ-КАО1.06 — Проанализировать исходный код на секреты и чувствительные данные

Описание: выполнить поиск паролей, токенов, приватных ключей, учетных данных и иной чувствительной информации в исходном коде и комментариях.

Результат: отчет с привязкой находок к файлам/строкам; значимые находки оформлены как недостатки.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1.

Трудоемкость: 0,5-1 чел.-дн.

СИ-КАО1.07 — Выполнить статический анализ веб-интерфейсов

Описание: проверить веб-интерфейсы из поверхности атаки на типовые уязвимости веб-приложений из БДУ ФСТЭК.

Результат: отчет по каждому веб-интерфейсу; недостатки оформлены по таблице 6.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1.

Трудоемкость: 1-3 чел.-дн.

СИ-КАО1.08 — Проверить контейнерные конфигурации

Описание: для контейнерного исполнения проверить полномочия контейнеров, правила оркестратора и взаимодействия компонентов с учетом рекомендаций ФСТЭК, CIS и Kubernetes Security Best Practices.

Результат: отчет по контейнерному исполнению; избыточные полномочия и разрешающие правила оформлены как недостатки.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.09 — Проверить браузерный код

Описание: выявить код, выполняющийся в контексте браузера, и генераторы такого кода; проверить его учет в SBOM, композиционный анализ, отсутствие динамической загрузки кода не из состава ОО и необоснованного доступа к чувствительным браузерным API.

Результат: заключение по браузерному коду; критичные факты оформлены как недостатки или основание прекращения исследований.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1, усиление 2.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.10 — Проверить опции безопасной компиляции и компоновки

Описание: проверить конфигурации сборки на наличие применимых опций, повышающих безопасность исполняемого кода и минимизирующих его объем, с учетом ГОСТ Р 71206-2024.

Результат: отчет по опциям безопасной сборки; отсутствующие применимые опции оформлены как недостатки.

Критерии приемки: проверены 100% объектов из области КАО.1; результат содержит перечень проверок, настройки инструментов, найденные факты и вердикт применимости; недостатки оформлены по таблице 6.

Методика: КАО.1, усиление 3.

Трудоемкость: 1-2 чел.-дн.

СИ-КАО1.11 — Выполнить анализ комментариев в исходном коде на НДВ и компрометирующие конструкции

Описание: проанализировать комментарии в исходном коде ОО, в том числе закомментированный код, в целях выявления НДВ, компрометирующих конструкций, скрытых функциональных возможностей, отключённых механизмов безопасности, отладочных backdoor-ов и иных недостатков архитектуры и кода, которые могут быть задокументированы в комментариях в явном или завуалированном виде.

Результат: отчет по анализу комментариев; выявленные НДВ и компрометирующие конструкции оформлены как недостатки.

Критерии приемки: проанализированы комментарии в 100% модулей из области КАО.1; закомментированный код, TODO/FIXME/HACK-метки, ссылки на внешние ресурсы и любые описания скрытого функционала проверены на значимость для безопасности; значимые находки оформлены по таблице 6; при отсутствии значимых находок зафиксирован явный вердикт ИЛ.

Методика: КАО.1.

Трудоемкость: 1-2 чел.-дн.

Этап 4. КАО.2 — Динамический анализ архитектуры

СИ-КАО2.01 — Подготовить сценарии функционирования ОО

Описание: выбрать не менее трех различных сценариев с приоритетом чувствительных данных, административных функций и межузлового взаимодействия; описать цели, роли, шаги и ожидаемые результаты.

Результат: утвержденный набор сценариев для динамического анализа.

Критерии приемки: выбрано не менее 3 различных сценариев; каждый сценарий содержит цель, роли, шаги, ожидаемый результат и связь с интерфейсами/ФБ.

Методика: КАО.2.

Трудоемкость: 0,5-1 чел.-дн.

СИ-КАО2.02 — Выполнить сценарии с контролем сетевой активности

Описание: запустить сценарии на стенде, записать сетевую активность, проверить отсутствие утечек учётных данных, паролей, приватных ключей, а также проявлений НДВ (недекларированных сетевых обращений, передачи данных на внешние ресурсы, скрытых каналов). Каждое выявленное недекларированное взаимодействие анализировать на предмет признаков НДВ и при подтверждении оформлять соответствующим образом.

Результат: сетевые дампы, журналы и вердикты по каждому сценарию.

Критерии приемки: выполнены все утвержденные сценарии/проверки; сетевые дампы, журналы и настройки инструментов приложены; по каждому интерфейсу или угрозе указан вердикт ИЛ.

Методика: КАО.2.

Трудоемкость: 1-3 чел.-дн.

СИ-КАО2.03 — Проанализировать сетевые интерфейсы поверхности атаки

Описание: применить анализаторы безопасности к сетевым интерфейсам ОО из поверхности атаки; зафиксировать настройки инструментов и результаты.

Результат: отчет по сетевым интерфейсам; выявленные недостатки оформлены.

Критерии приемки: выполнены все утвержденные сценарии/проверки; сетевые дампы, журналы и настройки инструментов приложены; по каждому интерфейсу или угрозе указан вердикт ИЛ.

Методика: КАО.2.

Трудоемкость: 1-3 чел.-дн.

СИ-КАО2.04 — Выполнить динамический анализ веб-интерфейсов

Описание: проверить веб-интерфейсы из поверхности атаки динамическими методами на типовые уязвимости веб-приложений из БДУ ФСТЭК.

Результат: отчет по динамической проверке веб-интерфейсов с логами и скриншотами.

Критерии приемки: выполнены все утвержденные сценарии/проверки; сетевые дампы, журналы и настройки инструментов приложены; по каждому интерфейсу или угрозе указан вердикт ИЛ.

Методика: КАО.2.

Трудоемкость: 1-3 чел.-дн.

СИ-КАО2.05 — Проверить устойчивость к специфическим угрозам

Описание: определить специфические для типа ОО угрозы, выбрать методы автоматизированного динамического анализа и выполнить проверку; при необходимости привлечь разработчика для организации проверки.

Результат: отчет по специфическим угрозам с обоснованием выбранных методов.

Критерии приемки: выполнены все утвержденные сценарии/проверки; сетевые дампы, журналы и настройки инструментов приложены; по каждому интерфейсу или угрозе указан вердикт ИЛ.

Методика: КАО.2, усиление 1.

Трудоемкость: 1-2 чел.-дн.

Этап 5. САО — Статический анализ исходного кода

СИ-САО.01 — Сформировать матрицу охвата САО

Описание: сопоставить модули поверхности атаки, модули ФБ, языки программирования, анализаторы и результаты разработчика.

Результат: матрица охвата; исключения для разметки, ассемблера и неподдерживаемых языков обоснованы.

Критерии приемки: охвачены 100% применимых языков и модулей из матрицы САО; числовые выборки и пороги методики соблюдены; машиночитаемые результаты, разметка и журналы приложены.

Методика: САО, усиление 1.

Трудоемкость: 0,5-1 чел.-дн.

СИ-САО.02 — Проверить конфигурации статических анализаторов

Описание: проверить версии, правила, профили и параметры запуска анализаторов; подтвердить анализ на уровне синтаксического дерева и соответствие ГОСТ Р 71207-2024.

Результат: заключение по пригодности анализаторов и их конфигураций.

Критерии приемки: охвачены 100% применимых языков и модулей из матрицы САО; числовые выборки и пороги методики соблюдены; машиночитаемые результаты, разметка и журналы приложены.

Методика: САО, усиление 2.

Трудоемкость: 0,5-1 чел.-дн.

СИ-САО.03 — Оценить статический анализ разработчика

Описание: проверить, что разработчик проанализировал исходный код всех модулей поверхности атаки и ФБ для всех высокоуровневых языков, включая генерируемый при функционировании код, если применимо.

Результат: заключение о соответствии результатов разработчика требованиям методики.

Критерии приемки: охвачены 100% применимых языков и модулей из матрицы САО; числовые выборки и пороги методики соблюдены; машиночитаемые результаты, разметка и журналы приложены.

Методика: САО.

Трудоемкость: 1-2 чел.-дн.

СИ-САО.04 — Проверить ручную разметку предупреждений разработчика

Описание: проверить наличие ручной разметки всех критических предупреждений и качество комментариев; исключить общие формулировки без конкретного обоснования.

Результат: отчет по качеству разметки.

Критерии приемки: охвачены 100% применимых языков и модулей из матрицы САО; числовые выборки и пороги методики соблюдены; машиночитаемые результаты, разметка и журналы приложены.

Методика: САО, п. 5.3.

Трудоемкость: 1-2 чел.-дн.

СИ-САО.05 — Выполнить контрольную выборку предупреждений САО

Описание: сформировать выборку не менее 20 критических предупреждений на язык, не менее 5 модулей, не менее 10 предупреждений на анализатор и разные типы предупреждений.

Результат: протокол выборочной проверки; доля неверной разметки рассчитана.

Критерии приемки: выборка включает не менее 20 критических предупреждений на язык, не менее 5 модулей, не менее 10 предупреждений на анализатор и разные типы предупреждений; рассчитана доля неверной разметки.

Методика: САО.

Трудоемкость: 2-4 чел.-дн.

СИ-САО.06 — Выполнить самостоятельный САО при необходимости

Описание: если результаты разработчика неполны или доля неверной разметки превышает порог, выполнить самостоятельный статический анализ не менее 5 модулей поверхности атаки и не менее 10 предупреждений на каждый высокоуровневый язык либо зафиксировать невозможность продолжения.

Результат: результаты самостоятельного САО или обоснованное решение о прекращении исследований.

Критерии приемки: при самостоятельном САО проверено не менее 5 модулей поверхности атаки и не менее 10 предупреждений на каждый высокоуровневый язык; при невозможности продолжения оформлено решение ИЛ.

Методика: САО.

Трудоемкость: 2-5 чел.-дн.

СИ-САО.07 — Проверить open-source модули по методикам Центра исследований

Описание: определить open-source модули, для которых опубликованы методики статического анализа на portal.linuxtesting.ru, и проверить выполнение анализа по этим методикам.

Результат: отчет по open-source модулям.

Критерии приемки: охвачены 100% применимых языков и модулей из матрицы САО; числовые выборки и пороги методики соблюдены; машиночитаемые результаты, разметка и журналы приложены.

Методика: САО, усиление 3.

Трудоемкость: 1-2 чел.-дн.

СИ-САО.08 — Зафиксировать результаты САО и исправления

Описание: приложить конфигурации инструментов, машиночитаемые результаты, разметку, журналы запусков, патчи истинных предупреждений и список участков на неподдерживаемых языках/ассемблере.

Результат: комплект материалов САО для протокола.

Критерии приемки: охвачены 100% применимых языков и модулей из матрицы САО; числовые выборки и пороги методики соблюдены; машиночитаемые результаты, разметка и журналы приложены.

Методика: САО, раздел 5.

Трудоемкость: 1 чел.-дн.

Этап 6. ДАО.1 — Тестирование модулей

СИ-ДАО1.01 — Сформировать матрицу тестируемых модулей

Описание: сопоставить модули ФБ, модули непосредственной поверхности атаки, open-source модули, тесты, среды, архитектуры и отладочные сборки.

Результат: матрица тестирования; непокрытые модули и причины зафиксированы.

Критерии приемки: охвачены 100% тестируемых модулей из матрицы ДАО.1 либо причины исключения обоснованы; числовые пороги покрытия/выборки соблюдены; журналы и разметка приложены.

Методика: ДАО.1, усиления 1 и 5.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ДАО1.02 — Проверить комплект тестов разработчика

Описание: проверить системные, интеграционные, функциональные, регрессионные и модульные тесты, их цели, процедуры, ожидаемые и фактические результаты, прослеживаемость ФБ и вызов функций тестируемых модулей.

Результат: заключение о пригодности тестов разработчика.

Критерии приемки: охвачены 100% тестируемых модулей из матрицы ДАО.1 либо причины исключения обоснованы; числовые пороги покрытия/выборки соблюдены; журналы и разметка приложены.

Методика: ДАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО1.03 — Выполнить тестирование на отладочных сборках

Описание: запустить тесты для всех требуемых модулей и каждой поддерживаемой процессорной архитектуры; использовать датчики ошибок из ПОД.2.

Результат: журналы тестирования по модулям, средам и архитектурам.

Критерии приемки: охвачены 100% тестируемых модулей из матрицы ДАО.1 либо причины исключения обоснованы; числовые пороги покрытия/выборки соблюдены; журналы и разметка приложены.

Методика: ДАО.1.

Трудоемкость: 2-5 чел.-дн.

СИ-ДАО1.04 — Собрать структурное покрытие модулей

Описание: собрать покрытие по строкам исходного кода или базовым блокам исполняемого кода; проверить, что совокупное покрытие каждого тестируемого модуля не ниже 25%.

Результат: отчет покрытия по каждому модулю.

Критерии приемки: для каждого тестируемого модуля рассчитано покрытие строк или базовых блоков; совокупное покрытие не ниже 25% либо отклонение обосновано решением ИЛ.

Методика: ДАО.1, усиления 3 и 4.

Трудоемкость: 1-3 чел.-дн.

СИ-ДАО1.05 — Проанализировать журналы тестирования

Описание: выявить сбои, нарушения требований, срабатывания датчиков ошибок и безопасность-регрессии; исключить из учета тесты, не вызывающие функции проверяемых модулей.

Результат: разметка результатов тестирования с конкретными комментариями.

Критерии приемки: охвачены 100% тестируемых модулей из матрицы ДАО.1 либо причины исключения обоснованы; числовые пороги покрытия/выборки соблюдены; журналы и разметка приложены.

Методика: ДАО.1.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО1.06 — Выполнить выборочную проверку результатов ДАО.1

Описание: проверить не менее 50 тестов с нарушениями от не менее 5 модулей и все тесты, связанные с неисправленными регрессиями безопасности.

Результат: протокол выборочной проверки; рассчитана доля неверной разметки.

Критерии приемки: проверено не менее 50 тестов с нарушениями от не менее 5 модулей и 100% тестов по неисправленным регрессиям безопасности; рассчитана доля неверной разметки.

Методика: ДАО.1.

Трудоемкость: 2-4 чел.-дн.

СИ-ДАО1.07 — Проверить open-source модули по методикам Центра исследований

Описание: определить open-source тестируемые модули с опубликованными методиками тестирования и проверить выполнение тестирования по ним.

Результат: отчет по open-source тестированию.

Критерии приемки: охвачены 100% тестируемых модулей из матрицы ДАО.1 либо причины исключения обоснованы; числовые пороги покрытия/выборки соблюдены; журналы и разметка приложены.

Методика: ДАО.1, усиление 2.

Трудоемкость: 1-2 чел.-дн.

Этап 7. ДАО.2 — Фаззинг-тестирование

СИ-ДАО2.01 — Сформировать матрицу фаззинг-целей

Описание: сопоставить интерфейсы поверхности атаки, критичные участки кода, синтетические цели, фаззеры, входные данные, среды, архитектуры и отладочные сборки.

Результат: матрица фаззинг-целей; цели без покрытия и причины зафиксированы.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО2.02 — Проверить фаззинг-результаты разработчика

Описание: оценить результаты фаззинга разработчика, коллекции входных данных, правила, словари, параметры сборки, покрытие, журналы, сбои и зависания.

Результат: заключение о соответствии результатов разработчика требованиям методики.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО2.03 — Подготовить входные данные фаззинга

Описание: для каждой цели сформировать или проверить коллекции, правила и словари, задействующие различные функциональные возможности интерфейса; зафиксировать источники и принципы формирования.

Результат: комплект входных данных и описание принципов формирования.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2.

Трудоемкость: 1-3 чел.-дн.

СИ-ДАО2.04 — Подготовить новые или доработанные цели ИЛ

Описание: разработать не менее 2 новых фаззинг-целей либо существенно доработать не менее 3 существующих комплектов фаззинг-тестов; выбор целей обосновать значимостью для безопасности.

Результат: новые/доработанные цели ИЛ и обоснование выбора.

Критерии приемки: подготовлено не менее 2 новых фаззинг-целей либо существенно доработано не менее 3 существующих комплектов; для каждой цели указано обоснование значимости для безопасности.

Методика: ДАО.2.

Трудоемкость: 2-5 чел.-дн.

СИ-ДАО2.05 — Подготовить синтетические цели для критичных участков кода

Описание: для участков из ПОД.1 подготовить функции-обертки, преобразующие мутированные данные в параметры тестируемых функций с учетом протоколов, типов данных и контекста.

Результат: комплект синтетических целей и обоснование достаточности.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2, усиление 4.

Трудоемкость: 2-5 чел.-дн.

СИ-ДАО2.06 — Выполнить фаззинг с инструментированием

Описание: выполнить фаззинг на отладочных сборках с датчиками ошибок; при доступности инструментов использовать генетические алгоритмы с инструментированием исходного или бинарного представления.

Результат: журналы фаззинга, параметры запусков, сведения об инструментировании.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2, усиление 1.

Трудоемкость: 3-8 чел.-дн.

СИ-ДАО2.07 — Проверить эффективность фаззинга

Описание: подтвердить, что число уникальных путей не менее чем в 2 раза превышает число стартовых образцов либо итоговое покрытие не менее чем в 2 раза превышает покрытие от стартовых образцов; при высоком покрытии зафиксировать порог завершения.

Результат: расчет эффективности по каждой цели.

Критерии приемки: по каждой цели подтверждено: число уникальных путей не менее чем в 2 раза выше числа стартовых образцов либо итоговое покрытие не менее чем в 2 раза выше стартового; при высоком покрытии указан порог завершения.

Методика: ДАО.2, усиление 2.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО2.08 — Проверить длительность фаззинга каждой цели

Описание: подтвердить, что каждая цель тестировалась до состояния не менее 2 часов без нового пути или прироста покрытия при подаче уникальных мутированных данных.

Результат: временная шкала фаззинга и основание завершения по каждой цели.

Критерии приемки: по каждой цели подтверждено не менее 2 часов без нового пути или прироста покрытия при подаче уникальных мутированных данных; временная шкала приложена.

Методика: ДАО.2, усиление 5.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО2.09 — Проанализировать журналы фаззера

Описание: выявить зависания, сбои, срабатывания датчиков ошибок; подтвердить воспроизводимость в штатном режиме функционирования ОО.

Результат: разметка результатов фаззинга; воспроизводимые сбои оформлены как недостатки.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2.

Трудоемкость: 1-3 чел.-дн.

СИ-ДАО2.10 — Проверить open-source цели по методикам Центра исследований

Описание: определить open-source модули с методиками фаззинг-тестирования и проверить выполнение фаззинга по этим методикам.

Результат: отчет по open-source фаззингу.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2, усиление 3.

Трудоемкость: 1-2 чел.-дн.

СИ-ДАО2.11 — Передать результаты фаззинга разработчику

Описание: передать разработчику цели, коллекции, словари, журналы, найденные сбои и иные результаты для развития комплекта тестов.

Результат: зафиксированный факт передачи и состав переданных материалов.

Критерии приемки: охвачены 100% фаззинг-целей из матрицы ДАО.2 либо причины исключения обоснованы; числовые пороги эффективности/длительности соблюдены; цели, корпуса, словари, журналы и сбои приложены.

Методика: ДАО.2.

Трудоемкость: 0,5 чел.-дн.

Этап 8. ЭКО — Ручная экспертиза кода

СИ-ЭКО.01 — Определить область ЭКО

Описание: включить в ручной анализ модули с нестандартной модификацией байт-/машинного кода, механизмы защиты от динамического анализа, браузерный код, участки на неподдерживаемых языках и ассемблерные вставки.

Результат: область ЭКО с причиной включения каждого участка.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ЭКО.02 — Подготовить инструменты ручного анализа

Описание: подобрать средства анализа физической и логической структуры исходного кода; для восстановленного кода использовать дизассемблер с итеративным дизассемблированием и, при наличии, декомпиляторы/визуализаторы потоков.

Результат: перечень инструментов ЭКО и их возможностей.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ЭКО.03 — Зафиксировать перечень проверяемых ошибок и критерии

Описание: подготовить перечень проверяемых ошибок а)-т) с критериями выявления на базе CWE, Fortify Taxonomy, CERT и аналогичных руководств.

Результат: критерии ручной экспертизы кода.

Критерии приемки: перечень содержит все классы ошибок а)-т) из методики; для каждого класса указаны критерий выявления, источники классификации и способ фиксации результата.

Методика: ЭКО.

Трудоемкость: 0,5-1 чел.-дн.

СИ-ЭКО.04 — Выполнить анализ физической структуры кода

Описание: определить количество файлов, расположение, типы, размеры, число строк, результаты поиска по дереву исходных кодов.

Результат: отчет по физической структуре исходного кода.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 1-2 чел.-дн.

СИ-ЭКО.05 — Выполнить анализ логической структуры кода

Описание: определить сущности программы, места определения и использования, связи наследования, внешние и интерфейсные процедуры/переменные.

Результат: карта логической структуры для участков ЭКО.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 2-4 чел.-дн.

СИ-ЭКО.06 — Выполнить ручной анализ исходного и восстановленного кода

Описание: проверить выбранные участки на опасные API, некачественный код, небезопасную загрузку библиотек, ошибки обработки, инъекции, переполнения, гонки, утечки, избыточные полномочия, неиспользуемые компоненты, бинарные вставки и другие ошибки методики.

Результат: таблица находок ЭКО с привязкой к компонентам ОО.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 3-8 чел.-дн.

СИ-ЭКО.07 — Разобрать механизмы защиты от динамического анализа

Описание: при наличии механизмов, препятствующих динамическому анализу, провести совместный разбор с разработчиком либо подготовить решение ИЛ по снятию ограничений; при невозможности полного исследования зафиксировать решение.

Результат: заключение по механизмам защиты от исследований.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 1-3 чел.-дн.

СИ-ЭКО.08 — Проверить отсутствие сторонних программ в реализации ФБ

Описание: дополнительно проверить, что функции безопасности ОО не реализуются сторонними программами или модулями, не входящими в состав ОО.

Результат: заключение по сторонним программам в ФБ.

Критерии приемки: проверены 100% участков из области ЭКО; результат содержит критерии, трассировку к файлам/функциям/компонентам и вердикт по каждой находке; недостатки оформлены по таблице 6.

Методика: ЭКО.

Трудоемкость: 1-2 чел.-дн.

Этап 9. Устранение недостатков и повторные проверки

СИ-НЕД.01 — Сформировать сводный реестр недостатков безопасности

Описание: объединить недостатки из ПОД.1, ПОД.2, КАО.1, КАО.2, САО, ДАО.1, ДАО.2 и ЭКО; указать компонент, критичность, источник выявления, требуемое действие и статус.

Результат: актуальный реестр недостатков в формате таблицы 6 и рабочий трекер устранения.

Критерии приемки: по 100% недостатков указан статус, мера разработчика и вердикт ИЛ; повторные проверки покрывают все затронутые интерфейсы, компоненты, модули и код; материалы приложены к реестру.

Методика: п. 2.7 (повторные исследования), раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-НЕД.02 — Подготовить уведомление заявителю по выявленным недостаткам

Описание: описать выявленные недостатки, приложить подтверждающие материалы и запросить план/результаты устранения.

Результат: уведомление заявителю и список ожидаемых исправлений.

Критерии приемки: уведомление охватывает 100% недостатков из реестра; для каждого недостатка приложены подтверждающие материалы (лог, скриншот, трассировка к коду); дата отправки и способ передачи зафиксированы в проекте; от заявителя запрошен план устранения с ожидаемыми сроками.

Методика: все разделы — см. index.

Трудоемкость: 0,5-1 чел.-дн.

СИ-НЕД.03 — Проверить исправления разработчика

Описание: проверить патчи, обновленные сборки, документацию, разметку и иные меры разработчика; убедиться, что исправление адресует причину недостатка.

Результат: вердикт ИЛ по каждому исправлению.

Критерии приемки: для 100% переданных разработчиком исправлений выдан вердикт ИЛ (устранён / не устранён / устранён частично); для «не устранён» и «частично» зафиксированы конкретные замечания и возвращены разработчику; принятые исправления переданы в СИ-НЕД.04 для повторной проверки; материалы исправлений приложены к реестру недостатков.

Методика: п. 2.7 (повторные исследования), раздел 5 (Протокол).

Трудоемкость: 1-3 чел.-дн.

СИ-НЕД.04 — Выполнить повторные исследования затронутых частей

Описание: повторить исследования для всех прямо или косвенно затронутых интерфейсов, компонентов, модулей и исходного кода в полном объеме применимых требований методики.

Результат: материалы повторной проверки; таблица 6 обновлена.

Критерии приемки: повторные исследования охватывают 100% прямо и косвенно затронутых изменениями интерфейсов, компонентов, модулей и исходного кода; для каждого повторно проверенного объекта применены применимые виды исследований (КАО.1, КАО.2, САО, ДАО.1, ДАО.2, ЭКО) в полном объёме требований методики; таблица 6 обновлена по результатам; при появлении новых недостатков они внесены в реестр и обрабатываются повторно.

Методика: п. 2.7 (повторные исследования).

Трудоемкость: 2-6 чел.-дн.

СИ-НЕД.05 — Обновить контрольные суммы после доработки

Описание: после исправлений рассчитать контрольные суммы исходного кода, дистрибутива, файлов установленного ОО и доработанного комплекта документации.

Результат: обновленная ведомость контрольных сумм.

Критерии приемки: хэши ГОСТ 34.11-2012 (СТРИБОГ) пересчитаны для 100% изменённых файлов исходного кода, дистрибутива, исполняемых файлов и документации; расчёт выполнен средствами сертифицированной ОС или сертифицированным средством КС; ведомость обновлена и приложена к материалам исследований; расхождения между исходной и обновлённой ведомостью явно отражены.

Методика: ПОД.2, раздел 5 (Протокол).

Трудоемкость: 0,5-1 чел.-дн.

СИ-НЕД.06 — Выполнить контрольную сборку после доработки

Описание: собрать доработанный ОО под контролем ИЛ и проверить отсутствие новых недекларированных зависимостей, непроанализированного кода и исполняемых файлов не из исходников.

Результат: протокол контрольной сборки после доработки.

Критерии приемки: журнал повторной контролируемой сборки приложен; подтверждено отсутствие новых: недекларированных внешних зависимостей, непроанализированного кода, исполняемых файлов не из исходников; при выявлении новых фактов — решение ИЛ (недостаток / невозможность продолжения) задокументировано.

Методика: ПОД.2.

Трудоемкость: 1-2 чел.-дн.

Этап 10. Протокол и отправка материалов

СИ-ПРОТ.01 — Подготовить раздел протокола: общие положения, объект и цели

Описание: указать наименование и версию ОО, основание исследований, уровень контроля, цели и границы работ.

Результат: заполненный раздел протокола.

Критерии приемки: указаны наименование и версия ОО, реквизиты нормативных оснований, уровень контроля (4), цели исследований и границы работ; все обязательные поля заполнены; раздел согласован с материалами ПОД.1 и СИ-ОРГ.02.

Методика: раздел 5 (Протокол).

Трудоемкость: 0,5 чел.-дн.

СИ-ПРОТ.02 — Подготовить раздел протокола: средства и условия исследований

Описание: описать примененные инструменты, конфигурации, среды функционирования, условия проведения исследований и ограничения.

Результат: заполненный раздел протокола.

Критерии приемки: для каждого применённого инструмента указаны наименование, версия, реквизиты и настройки; перечислены все среды функционирования из ПОД.2.01 с обоснованием выбора; описаны ограничения, повлиявшие на объём исследований; ссылки на паспорт стенда и конфигурации инструментов приложены.

Методика: раздел 5 (Протокол).

Трудоемкость: 0,5-1 чел.-дн.

СИ-ПРОТ.03 — Подготовить технические результаты ПОД.1 и ПОД.2

Описание: включить методику/порядок исследований, поверхность атаки, перечень модулей, расхождения, контрольные суммы, антивирусный контроль, контролируемую сборку и датчики ошибок.

Результат: разделы ПОД.1 и ПОД.2 в протоколе и электронные приложения.

Критерии приемки: раздел ПОД.1 содержит: методику/порядок исследований, описание ОО, графическую схему поверхности атаки, согласованный перечень модулей, перечень критичных участков кода, ведомость полноты и качества исходных данных, заключение по нестандартным модификациям сборки; раздел ПОД.2 содержит: перечень сред, журнал контролируемой сборки, журнал сетевого контроля при установке, антивирусный отчёт, ведомость контрольных сумм с реквизитами инструмента, перечень отладочных сборок и датчиков ошибок; все электронные приложения указаны со ссылками.

Методика: раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.04 — Подготовить технические результаты КАО.1 и КАО.2

Описание: включить открытые источники, полномочия, SBOM/композиционный анализ, конфигурации, веб/контейнеры/браузерный код, безопасную сборку, анализ комментариев, сценарии, сетевые логи и специфические угрозы.

Результат: разделы КАО.1 и КАО.2 в протоколе и электронные приложения.

Критерии приемки: раздел КАО.1 содержит: обзор открытых источников с вердиктами применимости, матрицу полномочий, заключение по SBOM и композиционному анализу (включая среду функционирования), заключение по конфигурации, протокол выборочной проверки предупреждений (не менее 10 на анализатор), отчёт по секретам, заключение по анализу комментариев, результаты по веб/контейнерному/браузерному коду, отчёт по безопасным опциям сборки; раздел КАО.2 содержит: описание не менее 3 сценариев, сетевые дампы и вердикты, результаты анализа сетевых интерфейсов, результаты динамической проверки веб-интерфейсов, результаты проверки специфических угроз; все недостатки в таблице 6; электронные приложения приложены.

Методика: раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.05 — Подготовить технические результаты САО

Описание: включить конфигурации анализаторов, выборку, машиночитаемые результаты, разметку, журналы запусков, патчи и список неподдерживаемых языков/ассемблера.

Результат: раздел САО в протоколе и электронные приложения.

Критерии приемки: раздел содержит: матрицу охвата САО (языки × модули × анализаторы), заключение о пригодности конфигураций анализаторов, заключение о соответствии результатов разработчика, протокол выборочной проверки разметки (не менее 20 предупреждений на язык / не менее 5 модулей / не менее 10 на анализатор) с долей неверной разметки; при самостоятельном САО — его результаты; перечень участков на ассемблере и неподдерживаемых языках; машиночитаемые результаты, разметка и журналы запусков приложены; все отмеченные истинные предупреждения закрыты патчами или обоснованными мерами.

Методика: раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.06 — Подготовить технические результаты ДАО.1 и ДАО.2

Описание: включить тесты, журналы, контрольные выборки, структурное покрытие, параметры фаззинг-целей, коллекции/правила/словари, метрики эффективности, длительность фаззинга и передачу результатов разработчику.

Результат: разделы ДАО.1 и ДАО.2 в протоколе и электронные приложения.

Критерии приемки: раздел ДАО.1 содержит: матрицу тестируемых модулей, заключение о пригодности тестов разработчика, журналы тестирования по модулям/средам/архитектурам, отчёт покрытия (не ниже 25% по каждому модулю или с обоснованием отклонения), протокол выборочной проверки (не менее 50 тестов с нарушениями / не менее 5 модулей); раздел ДАО.2 содержит: матрицу фаззинг-целей, заключение по результатам разработчика, описание новых/доработанных целей ИЛ (не менее 2 новых или 3 доработанных), расчёт эффективности (×2 по путям или покрытию), подтверждение длительности (≥2 ч без нового пути), журналы, сбои и документ о передаче результатов разработчику; все электронные приложения приложены.

Методика: раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.07 — Подготовить технические результаты ЭКО

Описание: включить область ручного анализа, перечень ошибок и критерии, результаты анализа исходного и восстановленного кода, выводы по механизмам защиты от исследований и таблицу находок.

Результат: раздел ЭКО в протоколе и электронные приложения.

Критерии приемки: раздел содержит: описание области ЭКО с причиной включения каждого участка, перечень инструментов ЭКО, полный перечень проверяемых классов ошибок а)–т) с критериями выявления, отчёт по физической и логической структуре кода, таблицу находок с трассировкой к файлам/функциям/компонентам ОО, заключение по механизмам защиты от динамического анализа, заключение по сторонним программам в ФБ; при отсутствии находок по отдельным классам — явный вердикт ИЛ; все электронные приложения приложены.

Методика: раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.08 — Оформить таблицу выявленных недостатков

Описание: свести все недостатки по форме таблицы 6; для устраненных недостатков указать меры разработчика и вердикт ИЛ о корректности устранения.

Результат: таблица 6 готова к включению в протокол.

Критерии приемки: таблица 6 содержит 100% недостатков из реестра; для каждого недостатка заполнены: наименование, компонент ОО, меры разработчика, вердикт ИЛ о корректности устранения; для неустранённых указан актуальный статус и обоснование; таблица сверена с реестром СИ-НЕД.01 — расхождений нет.

Методика: раздел 5 (Протокол).

Трудоемкость: 0,5-1 чел.-дн.

СИ-ПРОТ.09 — Проверить качество разметки предупреждений

Описание: выборочно проверить, что предупреждения САО, ДАО.1, ДАО.2 и иных анализов имеют конкретные комментарии, понятные без повторного глубокого анализа кода.

Результат: заключение по качеству разметки; замечания устранены.

Критерии приемки: проверенная выборка охватывает все виды анализов (САО, ДАО.1, ДАО.2, при наличии — КАО.1); каждое проверенное предупреждение имеет конкретный комментарий — без общих формулировок типа «ложное срабатывание» без обоснования; при выявлении ненадлежащей разметки — замечания переданы исполнителям и устранены до отправки; заключение с итогами проверки включено в комплект протокола.

Методика: п. 5.3 (разметка предупреждений).

Трудоемкость: 0,5-1 чел.-дн.

СИ-ПРОТ.10 — Собрать электронные приложения

Описание: сформировать комплект цифровых материалов: конфигурации инструментов, журналы запусков, журналы работы с результатами, разметку, скриншоты, базы анализаторов, покрытия, фаззинг-материалы и контрольные суммы.

Результат: электронные приложения готовы и открываются без дополнительных предположений.

Критерии приемки: все электронные приложения, упомянутые в разделах протокола, присутствуют и доступны без дополнительного ПО; 100% ссылок из тела протокола на приложения проверены и работают; материалы структурированы по видам исследований; для каждого приложения указан его состав; контрольные суммы самих приложений включены в ведомость КС.

Методика: раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.11 — Провести внутреннюю ревизию материалов СИ

Описание: проверить полноту протокола, приложений, таблицы недостатков, ссылок на материалы, вех и закрытие задач Redmine перед отправкой.

Результат: чек-лист внутренней ревизии закрыт; материалы готовы к отправке.

Критерии приемки: чек-лист ревизии закрыт по всем пунктам: все разделы протокола заполнены, все электронные приложения приложены и открываются, таблица 6 сверена с реестром недостатков, все задачи Redmine закрыты или переведены в соответствующий статус, журнал запросов к заявителю не содержит открытых пунктов, блокирующих отправку; результат ревизии сохранён в проекте.

Методика: раздел 5 (Протокол).

Трудоемкость: 1 чел.-дн.

СИ-ПРОТ.12 — Подготовить техническое заключение и комплект отправки

Описание: оформить итоговые выводы, актовые материалы, техническое заключение и комплект документов для органа по сертификации.

Результат: комплект материалов СИ готов к отправке.

Критерии приемки: техническое заключение содержит итоговый вердикт ИЛ по каждому виду исследований и общий вывод о соответствии/несоответствии ОО требованиям; итоговые выводы не противоречат таблице 6 и реестру недостатков; комплект включает все документы, предусмотренные положением о сертификации; состав комплекта сверен с требованиями органа по сертификации.

Методика: организационная задача, раздел 5 (Протокол).

Трудоемкость: 1-2 чел.-дн.

СИ-ПРОТ.13 — Отправить материалы СИ в орган по сертификации

Описание: передать комплект материалов СИ и зафиксировать дату, состав, способ отправки и получателя.

Результат: материалы отправлены; подтверждение сохранено в проекте.

Критерии приемки: дата, состав передаваемого комплекта, способ отправки и данные получателя зафиксированы в проекте; подтверждение получения (квитанция, уведомление о доставке или иной документ) сохранено в Redmine; в проекте закрыта финальная веха отправки.

Методика: организационная задача.

Трудоемкость: 0,5 чел.-дн.

Отдельные задачи сопровождения после отправки

СИ-СОПР.01 — Отработать замечания органа по сертификации

Описание: зарегистрировать замечания, распределить исполнителей, подготовить ответы, корректировки протокола и дополнительные материалы.

Результат: протокол устранения замечаний и обновленный комплект материалов.

Критерии приемки: 100% замечаний/закрывающих действий зарегистрированы, имеют ответственного, срок, ответ и подтверждающий артефакт; обновленный комплект материалов сохранен в проекте.

Методика: организационная задача, раздел 5 (Протокол).

Трудоемкость: 1-3 чел.-дн.

СИ-СОПР.02 — Подготовить закрывающие документы по договору

Описание: оформить и отправить закрывающий комплект после завершения работ и прохождения установленных процедур.

Результат: закрывающие документы подготовлены и отправлены.

Критерии приемки: 100% замечаний/закрывающих действий зарегистрированы, имеют ответственного, срок, ответ и подтверждающий артефакт; обновленный комплект материалов сохранен в проекте.

Методика: организационная задача.

Трудоемкость: 0,5-1 чел.-дн.

Рекомендации по укрупнению задач

Укрупнять имеет смысл задачи, где самостоятельный результат является промежуточным и естественно входит в один раздел протокола. При этом привязку к требованиям методики лучше сохранить внутри описания укрупненной задачи как чек-лист подпунктов.

Практический вариант для Redmine: оставить детальные задачи как подзадачи на этапе активных исследований, а для управления сроками завести укрупненные родительские задачи из таблицы выше. Так сохраняется трассировка к методике и при этом план становится читаемым для заявителя и руководителя проекта.