Методическая рекомендация № 2026-03-014 | Уровень критичности: 3
Область: Поддержка безопасности эксплуатируемых средств защиты информации (далее - СЗИ).
Тип недостатка: Отсутствие поддержки разработчиком безопасности эксплуатируемых СЗИ, в том числе устранения известных уязвимостей программных компонентов СЗИ.
Описание: В соответствии с требованиями информационного письма от 26 сентября 2024 г. № 240/24/4436 изготовители СЗИ, испытательные лаборатории и органы по сертификации при проведении сертификации СЗИ, включающих в свой состав заимствованные программные компоненты с открытым исходным кодом (далее - заимствованные компоненты), должны проводить сертификационные испытания СЗИ и осуществлять их поддержку безопасности в соответствии с планами испытаний заимствованных компонентов и планами поддержки безопасности заимствованных компонентов.
При выявлении уязвимостей заимствованных программных компонентов СЗИ в соответствии с пунктом 22 Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. № 76, (https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-po-bezopasnosti-informatsii-utverzhdeny-prikazom-fstek-rossii-ot-2-iyunya-2020-g-n-76) разработчику СЗИ необходимо:
- в кратчайшие сроки разработать компенсирующие меры по защите информации или ограничения по применению СЗИ, а также доведение информации о недостатках и указанных мерах и ограничениях до потребителей;
- разработать обновления программного обеспечения СЗИ, или разработать меры по защите информации, нейтрализующих недостаток;
- довести информацию об обнаруженном недостатке до банка данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России.
В соответствии с пунктом 83 Положения о системе сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55, действие сертификата соответствия приостанавливается в случае установления факта несоответствия сертифицированного СЗИ требованиям по безопасности информации на основании поступившей в ФСТЭК России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей.
ФСТЭК России осуществляет и совершенствует процедуру контроля за устранением угроз безопасности информации, возникающих в сертифицированных СЗИ вследствие наличия известных уязвимостей в заимствованных компонентах СЗИ.
За ноябрь-декабрь 2025 г. приостановлено действие сертификатов соответствия для 2-х сертифицированных СЗИ.
Рекомендации
1. Разработчикам СЗИ обеспечить реализацию мероприятий по выявлению и устранению уязвимостей в заимствованных компонентах СЗИ на постоянной основе.
2. Работникам испытательных лабораторий и органов по сертификации проводить оценку уязвимостей в заимствованных компонентах СЗИ.
3. Разработчикам СЗИ в целях оперативного выявления и устранения уязвимостей в заимствованных компонентах СЗИ использовать автоматизированные средства, в том числе инструментальные средства композиционного анализа.
В соответствии с действующими национальными стандартами в области РБПО контроль наличия известных уязвимостей должен осуществляться в автоматическом (автоматизированном) режиме с использованием инструментальных средств композиционного анализа.
Дополнительные информационные материалы
- Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 3 апреля 2018 г. № 55;
- Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 2 июня 2020 г. № 76;
- ГОСТ Р 56939-2024 "Безопасная разработка. Общие требования";
- проект ГОСТ "Безопасная разработка. Композиционный анализ ПО".
Источник: https://t.me/sdl_inform/172