В предыдущем материале мы рассмотрели подходы к анализу уязвимостей ПО на ОУД4 и обозначили существующие варианты его проведения, один из которых – привлечение внешнего подрядчика. Сегодня мы остановимся на этом подробнее. Расскажем, по каким критериям выбрать подрядчика, на что обратить внимание и как можно упростить процедуру анализа.
Если вы задумались о привлечении внешнего подрядчика для проведения анализа ПО на ОУД4, возникает справедливый вопрос, кто же может им стать. Положения Банка России 683-П/684-П требуют от таких компаний наличия лицензии ФСТЭК на ТЗКИ на виды работ, предусмотренных подпунктами «б», «д» или «е» Положения о лицензировании деятельности по ТЗКИ, а, значит, при выборе подрядчика можно ограничиться этим требованием, но это только на первый взгляд. Всего на момент написания статьи в реестре соответствующих лицензий находится более 2500 компаний, и это очень много. Можно ли обращаться в любую из них? И что им потребуется для проведения анализа?
Шаг 1: выявляем методику проведения анализа уязвимостей
Первое, что следует выяснить у потенциального подрядчика – какова методика проведения анализа уязвимостей. Эта методика должна быть впоследствии описана в итоговом отчёте о выполненной работе, т.к. Банк России во время проведения проверки будет смотреть не только на наличие отчёта и его итоговый результат, но и на методику проведения анализа для оценки его адекватности. Очевидно, что «пустой» отчёт на двух-трёх страницах с безосновательными выводами о соответствии ПО на ОУД4 не будет принят, и финансовой организации будут выданы строгие предписания в рамках полномочий Банка России, а это различные меры воздействия, включая штрафы или приостановление деятельности.
При этом нужно понимать, любая методика тоже не подойдёт. Она должна соответствовать ГОСТ/ИСО 15408, о чём мы писали в прошлой статье. Компания-подрядчик должна получить для анализа определённый комплект документации на ПО, задание по безопасности и исходные коды, а также само ПО для развёртывания его на тестовом стенде.
В прошлых статьях мы уже упоминали разработанный Банком России профиль защиты ПО для дистанционного обслуживания клиентов через интернет. Недавно им было выпущено информационное письмо с рекомендациями по использованию профиля при анализе уязвимостей. Соответственно, задание по безопасности должно учитывать требования, которые описаны в этом документе.
Также методика должна содержать этапы работ: от оценки документации и разворачивания ПО на стенде до применения специального инструментария, такого как статический анализатор кода или системы динамического анализа ПО. Дополнительно методика должна описывать этап тестирования на проникновение, для того чтобы эксперт-оценщик мог подтвердить возможность эксплуатации тех или иных выявленных уязвимостей. Помимо этого, этапы работ необходимо проводить с определённой итеративностью, так как итоговый отчёт должен показать, что найденные уязвимости были устранены, и, как результат, оцениваемое ПО соответствует ОУД4.
Шаг 2: оцениваем штат и квалификацию специалистов
Второе, что нужно узнать – каковы ресурсы подрядчика на проведение анализа: есть ли у него помимо методики тот самый инструментарий и квалифицированные специалисты, умеющие им пользоваться. Статический анализатор может выдавать огромные отчёты о несоответствиях практикам безопасного программирования, и нужно уметь «читать» эти отчёты и формулировать понятные рекомендации, равно как и отсеивать ложные срабатывания. Кроме этого, подрядчик должен иметь штат пентестеров, которые будут оценивать возможность эксплуатации уязвимостей и по мере возможностей находить новые.
Шаг 3: убеждаемся в наличии дополнительных компетенций
Третьим пунктом будет являться способность подрядчика самому подготовить недостающие документы. Например, написать или скорректировать задание по безопасности или руководство по конфигурации ПО. Конечно, эта услуга в рамках оценки уязвимости ПО на ОУД4 носит дополнительный характер, но она говорит об уровне квалификации подрядчика. Помимо этого, делегирование таких работ внешнему подрядчику помогут финансовой организации сэкономить внутренние ресурсы своих специалистов, а в ряде случаев научить их правильно документировать разрабатываемое ПО.
Какие можно сделать выводы
Оценка примерной стоимости услуг по анализу уязвимостей на ОУД4 выходит за рамки данной статьи, но очевидно она не может быть низкой, т.к. требует наличия больших ресурсов со стороны подрядчика, а проводить анализ ПО «для галочки» чревато существенными санкциями Банка России, который серьёзно относится к информационной безопасности. Поэтому при привлечении внешнего подрядчика, кроме лицензии ФСТЭК на ТЗКИ необходимо поинтересоваться: