Методическая рекомендация № 2026-03-013 | Уровень критичности: 3

Область: Тестирование механизмов реализации функций безопасности (далее - ФБ).

Типы недостатков: Неполная инвентаризация реализуемых средством защиты информации (далее - СЗИ) ФБ, недостаточный объем тестирования реализующего ФБ программного кода.

Описание: С целью сокращения объемов сертификационных испытаний, а также при реализации процессов разработки безопасного программного обеспечения разработчики СЗИ и испытательные лаборатории в ряде случаев выполняют некачественную инвентаризацию, неполную декларацию и, как следствие, недостаточное тестирование механизмов (кода) СЗИ, отвечающих за реализацию ФБ.

Типичным примером, в частности, при сертификации СЗИ на соответствие техническим условиям (в части декларируемых ФБ), является описание в документации СЗИ только ФБ, связанных с группами мер ИАФ, УПД и РСБ (см. Приказ № 17), и только в минимальном их объеме - без декларации всех возможностей и режимов работы данных механизмов.

Частным примером является неполная инвентаризация механизмов ИАФ, поддерживаемых веб-серверами и серверами приложения, противоречащая в том числе информационному письму ФСТЭК России от 10 января 2025 г. № 240/24/39. Например, веб-сервер Apache реализует более 10 механизмов аутентификации, доступных в виде модулей, в зависимости от опций его сборки и конфигурации в СЗИ.

Отсутствие в документации на СЗИ описания назначения (функциональных возможностей) СЗИ и реализуемых ими ФБ приводит к отказу в выдаче ФСТЭК России решения о проведении сертификационных испытаний.

Рекомендации

При инвентаризации функциональных возможностей (далее - ФВ) СЗИ и классификации их в качестве ФБ рекомендуется следовать следующему алгоритму:

1. Получить полный список декларируемых разработчиком ФВ СЗИ.

2. Дополнить список незадекларированными разработчиком СЗИ ФВ, выявленными в ходе ознакомления с СЗИ и последующих испытаний. Все выявленные ФВ, являющиеся ФБ и не заявленные разработчиками в качестве ФБ, являются недекларированными возможностями (далее - НДВ). Выявление НДВ является основанием для прекращения процедуры сертификационных испытаний и выдаче отрицательного технического заключения.

3. Сравнить список ФВ со списками:

3.1. ФБ, вводимых Требованиями ФСТЭК России к различным типам СЗИ.
3.2. ФБ, вводимых Профилями ФСТЭК России к различным типам СЗИ.
3.3. Классов ФБ, определяемых в ГОСТ Р 15408-2-2013.

Совпадающие ФВ следует определить в качестве ФБ СЗИ.

4. Проанализировать список угроз безопасности информации, опубликованных в БДУ ФСТЭК России. ФВ СЗИ, реализующие защиту информационной системы или самого СЗИ от данных угроз, следует трактовать в качестве ФБ СЗИ.

Дополнительные информационные материалы

• приказ ФСТЭК России от 11 февраля 2013 г. № 17
• информационное письмо от 10 января 2025 г. № 240/24/39
• БДУ ФСТЭК России. Раздел Угрозы безопасности информации
• ГОСТ Р 15408-2-2013

Источник: https://t.me/sdl_inform/172