Pages - Menu

Страницы

6.6.13

Пора менять подходы к нейтрализации угрозы НДВ


Недавно я писал про недекларированные возможности. Заметка была связана со сложностями в проведении оценки отсутствия недекларированных возможностей для продукции американского происхождения. До этого были и еще записи (тут, тут и тут). На мой взгляд, сейчас назрела необходимость пересмотра этого устаревшего подхода к поиску недокументированных возможностей, как к единственному методу проверки не только функциональности средства защиты, но и защищенности его самого. Частично, этот шаг уже сделан ФСТЭК в 21-м приказе, в котором для актуальных угроз 1-го и 2-го типов (НДВ на системном и прикладном уровне соответственно), предусмотрена не только оценка отсутствия НДВ, как одного из способов нейтрализации угроз 1-го и 2-го типов, но и также:

  • внедрение разработчиками методов защищенного программирования (SDLC)

  • применение тестов на проникновение.



Тут сразу же возникает вопрос - а как доказать реализацию одной из указанных мер? Ну с пентестом более или менее понятно - я могу показать либо договор с внешней фирмой на оказание соответствующих услуг, либо собственный регламент проведения пентестов с журналом их осуществления. А как быть с SDLC? Декларативно от производителя?.. Но ведь поиск НДВ и призван защититься от случайных уязвимостей или намеренных закладок. Как тогда мы можем доверять декларации производителя? Независимую оценку требовать? Пока ответов нет, но сам факт расширения такого списка и выход за пределы одних только НДВ впечатляет.

Пока "только НДВ" у нас остается для области гостайны и средств защиты информации при определенных классах и уровнях защищенности по 21-му и 17-му приказам ФСТЭК. Да и по линии ФСБ это вещь обязательная. Но как уже было показано ранее, предоставление исходников, без которых провести сертификацию на отсутствие НДВ даже для 4-го класса, задача малореальная для многих разработчиков. Тупик? Пока да.

С другой стороны, поиск недекларированных возможностей и не везде нужен. Ну гостайна ладно. А ПДн? А конфиденциалка в госорганах? Там зачем тратить колоссальные средства на проверку исходников ПО или железа, если угроза явно неактуальна или несопоставима с затратами в поиск НДВ?

Может пора пересмотреть подход? Я бы предложил сначала четко очертить круг организаций, на которых распространяется требование поиска НДВ и, в частности, убрал бы оттуда тему персданных вовсе. Ну не является поиск НДВ (даже в средствах защиты) актуальной мерой нейтрализации угроз для данного вида информации ограниченного доступа. И для банковской тайны тоже. И для налоговой, аудиторской и шести десятков иных тайн тоже. Есть более дешевые и не менее эффективные для данной задачи варианты. И вот тут я бы вспомнил документы американского Минобороны и NIST, о которых уже писал. В них прописано, что для повышения качества кода (с точки зрения его защищенности, надежности, живучести и т.п.), необходимо использовать разные (на выбор заказчика) механизмы:

  • Инструментальные средства анализа кода (не только исходного, но и исполняемого). Именно сюда попадают различные продукты класса SAST/DAST/фаззеры и т.п.

  • Анализ уязвимостей и угроз. Тут все понятно - сканеры защищенности, работающие в режиме black box, grey box или white box.

  • "Ручной" анализ кода.

  • Пентесты.

  • Моделирование угроз. Тут пример может быть таким. Собственная разработка и с разработчиками ведется организационная работа, снижающая вероятность внесения НДВ в код ПО. Или ПО написано на таком старом языке, что никто и не помнит, как им пользоваться и как внести закладки (вспомните, историю с шифровальщиками из индейцев навахо во время второй мировой войны).

  • Проверка области тестирования/анализа.

  • Симуляция /эмуляция.



Наверное, можно придумать и что-то иное для замены не всегда нужной оценки соответствия на отсутствие НДВ. Главное, не стоять на месте и двинуться вперед, предложив потребителю несколько альтернатив и подготовив соответствующую методологическую базу для каждого из предложенных выше вариантов. Тогда и задача оценки качества ПО будет решена и затраты будут более адекватными рискам и претензий со стороны рынка в сторону регуляторов будет меньше.


6 комментариев:

  1. А какая разница между доверием к производителю и доверием к испытательной лаборатории(органу по сертификации)? В РБК сегодня увидел интересную статью про Росаккредитацию - количество "липовых" сертификатов поражает.

    ОтветитьУдалить
  2. Алексей, вы с грифами разными по ГТ работали (секретно, сов.секретно, особой важности)?
    Они все защищаются одними и теми же средствами по большей части, разница в настройках, в дальности ПЭМИН и т.д. Пришли иностранные производители 9с хорошими нароботками) и вытесняют тех, кто годами делал поделки для ГТ с рынка для конф., а еще и "утечку мозгов" организовали. Надо же хоть как-то и своих производителей подтягивать 9хотябы для ГТ) - вот НДВ это прямой способ узнать как что сделано у иностранцев))) Кроме того, банковская тайна о счете какого-нибудь политика может спровоцировать революционные настроения, а это плавно перетекает в национальную безопасноть... А информация о состоянии здоровья Фиделя Кастро, например...
    Разное все и ПДн и налоговая и банковская тайна.
    Согласен, подход надо менять. Самая действенная на мой взгляд, мера - деньги. Например страхование ответственности производителя ПО (он тогда сам будет SDLC применять).

    ОтветитьУдалить
  3. Остапа понесло...

    1. "устаревшего подхода к поиску недокументированных возможностей, как к единственному методу проверки не только функциональности средства защиты, но и защищенности его самого"

    - Это никак не единственный метод! Тот же РД СВТ предполагает тестирование, включающее "перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов, средства защиты механизма разграничения доступа, санкционированные изменения ПРД"

    2. Да, про SDLC пока намек, но во что он выльется пока не ясно, но это и намек на парадигму ответственности Разработчика! А это новость!

    3. Применение тестов на проникновение - скорее косвенная мера относящаяся к системе в целом. Может потянуть за собой комплекс компенсирующих мер, что так же интересно.

    4. вот следующую цитату я вообще не понял... для кого малореальная для кого возможная, для кого то невозможная... запутываешь ?

    "Пока "только НДВ" у нас остается для области гостайны и средств защиты информации при определенных классах и уровнях защищенности по 21-му и 17-му приказам ФСТЭК. Да и по линии ФСБ это вещь обязательная. Но как уже было показано ранее, предоставление исходников, без которых провести сертификацию на отсутствие НДВ даже для 4-го класса, задача малореальная для многих разработчиков. Тупик? Пока да."

    5. "зачем тратить колоссальные средства на проверку исходников ПО или железа"

    - при чем тут железо ?

    6. Ты как то ведешь к мысли что уязвимости, недостатки и т.п. искать не надо? Странно...

    7. "Может пора пересмотреть подход? Я бы предложил сначала четко очертить круг организаций.."
    - очень странно ты предлагаешь поменять подход! Не сфера а организации...

    8. "Ну не является поиск НДВ (даже в средствах защиты) актуальной мерой нейтрализации угроз для данного вида информации ограниченного доступа"
    - если угрозы наличия дырки в СрЗИ (есть в ней обход) не является актуальной - то пожалуй не нужно вообще использовать средства защиты!

    9. Теперь по "американского Минобороны и NIST"
    9.1 "Инструментальные средства анализа кода" - применяются при НДВ да еще и сертифицированные!
    9.2 "Анализ уязвимостей и угроз" - применяются!
    9.3 ""Ручной" анализ кода" - применяется!
    9.4. "Пентесты" - применяй нехочу! Хочешь сделать обязательным?
    9.5 "Моделирование угроз" - см. РД и Гарантии проектирования!
    9.6 "Проверка области тестирования/анализа" - смотри РД!
    9.7. "Симуляция /эмуляция" - так же применяется, и в тех же случаях!

    10. "Наверное, можно придумать и что-то иное для замены не всегда нужной оценки соответствия на отсутствие НДВ."
    - смотри в комплексе... все есть! Кроме НДВ полно проверок которые ты сейчас размазал в направление НДВ!

    11. "Тогда и задача оценки качества ПО будет решена"

    - не нужно путать качество ПО и безопасность ПО!

    ОтветитьУдалить
  4. Конечно, оператор не может самостоятельно разрулить вопрос с НДВ. Я предлагаю рассматривать этот вопрос в таком ключе: http://kaskadsecurity.blogspot.ru/2013/02/1119.html

    При этом компенсирующие меры должен обеспечить Оператор сам или привлечь специалистов. Но платить ему! Для компенсирующих мер можно придумать массу вещей главным образом закрывающих периметр и возможность восстановления с доп мерами контроля. Но пока об этом речи нет.

    ОтветитьУдалить
  5. И конечно нужно помнить что НДВ: Функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

    Иными словами угроза того, что разработчик сокрыл от потребителя(архитектора СЗИ) функциональные возможности, архитектор СЗИ их не учел и целевая система ку ку...

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.