Журнал "Information Security/ Информационная безопасность" #5, 2022

ПРАВО И НОРМАТИВЫ l испытательная лаборатория в течение 20 календарных дней со дня отбора образца (образцов) должна разработать программу и методику сертификацион- ных испытаний СрЗИ; l орган по сертификации рассматри- вает программу и методику сертифика- ционных испытаний СрЗИ в течение 10 рабочих дней со дня получения про- граммы и методики сертификационных испытаний; l общий срок рассмотрения и утвер- ждения программы и методики сертифи- кационных испытаний СрЗИ органом по сертификации теперь не должен превы- шать 30 календарных дней, вместо 60; l в случае если в экспертном заключе- нии сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК Рос- сии в срок не более 30 (ранее было 45) календарных дней рассматривает мате- риалы по сертификации СрЗИ и при отсутствии недостатков принимает реше- ние о выдаче сертификата соответствия; l орган по сертификации, испытатель- ная лаборатория и заявитель в срок не более 30 (было 90) календарных дней со дня подписания соответствующего уве- домления должны устранить выявленные недостатки, при необходимости провести повторные сертификационные испытания СрЗИ и представить в ФСТЭК России доработанные материалы по сертифи- кации средства защиты информации. Для заявителей, являющихся разра- ботчиками СрЗИ и имеющих сертификат соответствия процедур безопасной раз- работки программного обеспечения тре- бованиям национальных стандартов в области защиты информации, в случае внесения в сертифицированное СрЗИ изменений добавлена возможность про- водить испытания СрЗИ самостоятельно. Аттестация экспертов органов по сертификации и специалистов испытательных лабораторий В октябре 2022 г. для общественного обсуждения представлен проект поста- новления Правительства Российской Федерации "О внесении изменений в Правила аккредитации органов по серти- фикации и испытательных лабораторий (центров), выполняющих работы по оцен- ке (подтверждению) соответствия в отно- шении продукции (работ, услуг), исполь- зуемой в целях защиты сведений, состав- ляющих государственную тайну или отно- симых к охраняемой в соответствии с законодательством Российской Федера- ции иной информации ограниченного доступа, и продукции (работ, услуг), све- дения о которой составляют государст- венную тайну, утвержденные постанов- лением Правительства Российской Феде- рации от 3 ноября 2014 г. № 1149" 16 . Проектом планируется ввести атте- стацию экспертов органов по сертифи- кации и специалистов испытательных лабораторий. Методики ФСТЭК России по оценке уровня критичности уязвимостей и тестированию обновлений безопасности ФСТЭК России 28 октября 2022 г. опубликовала: l Методику оценки уровня критичности уязвимостей программных, программ- но-аппаратных средств 17 . l Методику тестирования обновлений безопасности программных, программ- но-аппаратных средств 18 . Методики имеют перекрестные ссылки друг на друга и подлежат применению операторами информационных систем при принятии мер в соответствии с тре- бованиями о защите информации, содер- жащейся в государственных информа- ционных системах, требованиями по обеспечению безопасности значимых объектов КИИ, а также иными норма- тивными правовыми актами и методи- ческими документами ФСТЭК России. Расчет уровня критичности уязвимости программных, программно-аппаратных средств по методике должен осуществ- ляться по следующей формуле: = × , где – показатель, характеризую- щий уровень опасности уязвимости; – показатель, характеризующий влияние уязвимости программных, про- граммно-аппаратных средств на функцио- нирование информационной системы (ИС). При этом показатель определяет- ся путем расчета базовых, временных и контекстных метрик применительно к конкретной информационной системе по методике Common Vulnerability Scoring System (CVSS) 3.0 или 3.1. Показатель может быть рассчитан с использо- ванием калькулятора, содержащегося в Банке данных угроз безопасности информации ФСТЭК России в разделе "Уязвимости" 19 . Показатель определяется из рас- чета весовых коэффициентов, перемно- женных на "внутренние" показатели (значения приведены в Методике оценки уровня критичности уязвимостей про- граммных, программно-аппаратных средств). К таким показателям отнесены: l тип компонента ИС, подверженного уязвимости; l количество уязвимых компонентов ИС; l влияние уязвимого компонента на защищенность ИС. Выделено четыре уровня критичности уязвимости: критичный, высокий, сред- ний и низкий. В зависимости от уровня критичности уязвимостей принимается решение о необходимости их устране- ния – сроках принятия мер по устране- нию. В методике приводится ряд ком- пенсирующих мер в случае невозмож- ности получения, установки и тестиро- вания обновлений. По методике тестирования обновлений безопасности программных, программно- аппаратных средств тестирование прово- дится с целью своевременного выявления в них потенциально опасных функцио- нальных возможностей, незадеклариро- ванных разработчиком, в том числе поли- тических баннеров, лозунгов, призывов и иной противоправной информации (недекларированные возможности). К при- знакам недекларированных возможностей обновлений безопасности относятся: l попытки обращений к файловой системе, базам данных, электронной почте и другой информации, не имеющие отношения к функционалу обновляемых программных, программно-аппаратных средств; l недокументированные обращения к сторонним (неизвестным оператору) сетевым адресам и доменным именам, не относящимся к оператору ИС; l системные вызовы, характерные для вредоносного программного обеспече- ния (например, попытки загрузки из сети "Интернет" библиотек и программ- ных пакетов, не имеющих отношения к функционалу программного обеспече- ния, попытки перехвата сетевого тра- фика другого программного обеспече- ния, попытки мониторинга действий пользователей с другим программным обеспечением); l потенциально опасные изменения в файловой системе в результате уста- новки обновления, в том числе загрузка и установка недокументированного про- граммного обеспечения, драйверов и библиотек, не имеющих отношения к функционалу обновляемого программ- ного, программно-аппаратного средства; l изменения конфигурации среды функ- ционирования, не имеющие отношения к обновляемому программному, про- граммно-аппаратному средству (напри- мер, появление новых автоматически загружаемых программ); l отключение средств защиты информа- ции и функций безопасности информации. В ходе проведения тестирования обновлений безопасности должны выпол- няться следующие тесты: сверка иден- тичности обновлений безопасности, про- верка подлинности обновлений безопас- 16 https://regulation.gov.ru/projects#npa=132438 17 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2529-metodicheskij- dokument-utverzhden-fstek-rossii-28-oktyabrya-2022-g-2 18 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2527-metodicheskij- dokument-utverzhden-fstek-rossii-28-oktyabrya-2022-g 19 https://bdu.fstec.ru/calc3, https://bdu.fstec.ru/calc31 10 •