- внедрение разработчиками методов защищенного программирования (SDLC)
- применение тестов на проникновение.
Тут сразу же возникает вопрос — а как доказать реализацию одной из указанных мер? Ну с пентестом более или менее понятно — я могу показать либо договор с внешней фирмой на оказание соответствующих услуг, либо собственный регламент проведения пентестов с журналом их осуществления. А как быть с SDLC? Декларативно от производителя?.. Но ведь поиск НДВ и призван защититься от случайных уязвимостей или намеренных закладок. Как тогда мы можем доверять декларации производителя? Независимую оценку требовать? Пока ответов нет, но сам факт расширения такого списка и выход за пределы одних только НДВ впечатляет.
Пока «только НДВ» у нас остается для области гостайны и средств защиты информации при определенных классах и уровнях защищенности по 21-му и 17-му приказам ФСТЭК. Да и по линии ФСБ это вещь обязательная. Но как уже было показано ранее, предоставление исходников, без которых провести сертификацию на отсутствие НДВ даже для 4-го класса, задача малореальная для многих разработчиков. Тупик? Пока да.
С другой стороны, поиск недекларированных возможностей и не везде нужен. Ну гостайна ладно. А ПДн? А конфиденциалка в госорганах? Там зачем тратить колоссальные средства на проверку исходников ПО или железа, если угроза явно неактуальна или несопоставима с затратами в поиск НДВ?
Может пора пересмотреть подход? Я бы предложил сначала четко очертить круг организаций, на которых распространяется требование поиска НДВ и, в частности, убрал бы оттуда тему персданных вовсе. Ну не является поиск НДВ (даже в средствах защиты) актуальной мерой нейтрализации угроз для данного вида информации ограниченного доступа. И для банковской тайны тоже. И для налоговой, аудиторской и шести десятков иных тайн тоже. Есть более дешевые и не менее эффективные для данной задачи варианты. И вот тут я бы вспомнил документы американского Минобороны и NIST, о которых уже писал. В них прописано, что для повышения качества кода (с точки зрения его защищенности, надежности, живучести и т.п.), необходимо использовать разные (на выбор заказчика) механизмы:
- Инструментальные средства анализа кода (не только исходного, но и исполняемого). Именно сюда попадают различные продукты класса SAST/DAST/фаззеры и т.п.
- Анализ уязвимостей и угроз. Тут все понятно — сканеры защищенности, работающие в режиме black box, grey box или white box.
- «Ручной» анализ кода.
- Пентесты.
- Моделирование угроз. Тут пример может быть таким. Собственная разработка и с разработчиками ведется организационная работа, снижающая вероятность внесения НДВ в код ПО. Или ПО написано на таком старом языке, что никто и не помнит, как им пользоваться и как внести закладки (вспомните, историю с шифровальщиками из индейцев навахо во время второй мировой войны).
- Проверка области тестирования/анализа.
- Симуляция /эмуляция.
Наверное, можно придумать и что-то иное для замены не всегда нужной оценки соответствия на отсутствие НДВ. Главное, не стоять на месте и двинуться вперед, предложив потребителю несколько альтернатив и подготовив соответствующую методологическую базу для каждого из предложенных выше вариантов. Тогда и задача оценки качества ПО будет решена и затраты будут более адекватными рискам и претензий со стороны рынка в сторону регуляторов будет меньше.
А какая разница между доверием к производителю и доверием к испытательной лаборатории(органу по сертификации)? В РБК сегодня увидел интересную статью про Росаккредитацию — количество "липовых" сертификатов поражает.
Никакой — по жизни. Все лажают
Алексей, вы с грифами разными по ГТ работали (секретно, сов.секретно, особой важности)?
Они все защищаются одними и теми же средствами по большей части, разница в настройках, в дальности ПЭМИН и т.д. Пришли иностранные производители 9с хорошими нароботками) и вытесняют тех, кто годами делал поделки для ГТ с рынка для конф., а еще и "утечку мозгов" организовали. Надо же хоть как-то и своих производителей подтягивать 9хотябы для ГТ) — вот НДВ это прямой способ узнать как что сделано у иностранцев))) Кроме того, банковская тайна о счете какого-нибудь политика может спровоцировать революционные настроения, а это плавно перетекает в национальную безопасноть… А информация о состоянии здоровья Фиделя Кастро, например…
Разное все и ПДн и налоговая и банковская тайна.
Согласен, подход надо менять. Самая действенная на мой взгляд, мера — деньги. Например страхование ответственности производителя ПО (он тогда сам будет SDLC применять).
Остапа понесло…
1. "устаревшего подхода к поиску недокументированных возможностей, как к единственному методу проверки не только функциональности средства защиты, но и защищенности его самого"
— Это никак не единственный метод! Тот же РД СВТ предполагает тестирование, включающее "перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов, средства защиты механизма разграничения доступа, санкционированные изменения ПРД"
2. Да, про SDLC пока намек, но во что он выльется пока не ясно, но это и намек на парадигму ответственности Разработчика! А это новость!
3. Применение тестов на проникновение — скорее косвенная мера относящаяся к системе в целом. Может потянуть за собой комплекс компенсирующих мер, что так же интересно.
4. вот следующую цитату я вообще не понял… для кого малореальная для кого возможная, для кого то невозможная… запутываешь ?
"Пока "только НДВ" у нас остается для области гостайны и средств защиты информации при определенных классах и уровнях защищенности по 21-му и 17-му приказам ФСТЭК. Да и по линии ФСБ это вещь обязательная. Но как уже было показано ранее, предоставление исходников, без которых провести сертификацию на отсутствие НДВ даже для 4-го класса, задача малореальная для многих разработчиков. Тупик? Пока да."
5. "зачем тратить колоссальные средства на проверку исходников ПО или железа"
— при чем тут железо ?
6. Ты как то ведешь к мысли что уязвимости, недостатки и т.п. искать не надо? Странно…
7. "Может пора пересмотреть подход? Я бы предложил сначала четко очертить круг организаций.."
— очень странно ты предлагаешь поменять подход! Не сфера а организации…
8. "Ну не является поиск НДВ (даже в средствах защиты) актуальной мерой нейтрализации угроз для данного вида информации ограниченного доступа"
— если угрозы наличия дырки в СрЗИ (есть в ней обход) не является актуальной — то пожалуй не нужно вообще использовать средства защиты!
9. Теперь по "американского Минобороны и NIST"
9.1 "Инструментальные средства анализа кода" — применяются при НДВ да еще и сертифицированные!
9.2 "Анализ уязвимостей и угроз" — применяются!
9.3 ""Ручной" анализ кода" — применяется!
9.4. "Пентесты" — применяй нехочу! Хочешь сделать обязательным?
9.5 "Моделирование угроз" — см. РД и Гарантии проектирования!
9.6 "Проверка области тестирования/анализа" — смотри РД!
9.7. "Симуляция /эмуляция" — так же применяется, и в тех же случаях!
10. "Наверное, можно придумать и что-то иное для замены не всегда нужной оценки соответствия на отсутствие НДВ."
— смотри в комплексе… все есть! Кроме НДВ полно проверок которые ты сейчас размазал в направление НДВ!
11. "Тогда и задача оценки качества ПО будет решена"
— не нужно путать качество ПО и безопасность ПО!
Конечно, оператор не может самостоятельно разрулить вопрос с НДВ. Я предлагаю рассматривать этот вопрос в таком ключе: http://kaskadsecurity.blogspot.ru/2013/02/1119.html
При этом компенсирующие меры должен обеспечить Оператор сам или привлечь специалистов. Но платить ему! Для компенсирующих мер можно придумать массу вещей главным образом закрывающих периметр и возможность восстановления с доп мерами контроля. Но пока об этом речи нет.
И конечно нужно помнить что НДВ: Функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Иными словами угроза того, что разработчик сокрыл от потребителя(архитектора СЗИ) функциональные возможности, архитектор СЗИ их не учел и целевая система ку ку…