Приказ Федеральной службы по техническому и экспортному контролю от 28.10.2022 № б/н «Методический документ “Методика тестирования обновлений безопасности программных, программно-аппаратных средств”»
Ссылки
- Сайт ФСТЭК России
- Официальный текст на сайте в формате PDF
- Сохранённый текст в формате PDF
- Консультант+
- Гарант
Обзоры документа
Аналитический центр УЦСБ
Методика определяет порядок работ по тестирования обновлений ПО (в т.ч. с открытым исходным кодом), предназначенного для устранения уязвимостей программных и программно-аппаратных средств (далее – обновление безопасности). Область применения совпадает с областью применения методики оценки уровня критичности, описанной ранее: методика подлежит применению операторами информационных систем (далее – ИС) при выявлении и устранении уязвимостей программных и программно-аппаратных средств в соответствии с требованиями безопасности информации, содержащейся в государственных ИС, объекта критической информационной инфраструктуры, а также иными требованиями законодательства РФ.
Устранение уязвимостей сертифицированных программных и программно-аппаратных средств осуществляется в приоритетном порядке. Тестированию подлежат обновления безопасности, направленные на устранения уязвимостей после оценки их критичности по методике, описанной ранее. Тестирование обновлений осуществляют специалисты по защите информации оператора ИС.
Методика описывает порядок тестирования обновлений безопасности в три этапа:
- Подготовка к проведению тестирования.
- Проведение тестирования.
- Оформление результатов тестирования.
Методика не описывает способы получения обновлений, а также не устанавливает порядок выбора среды тестирования – они определяются на усмотрение специалистов по защите информации, проводящих тестирование.
Для тестирования рекомендуется использовать инструментальные средства анализа и контроля, не имеющие ограничений по применению на территории РФ.
В ходе проведения тестирования должны выполняться следующие тесты:
- сверка идентичности обновлений безопасности;
- проверка подлинности обновлений безопасности;
- антивирусный контроль обновлений безопасности;
- поиск опасных конструкций в обновлениях безопасности;
- мониторинг активности обновлений безопасности в среде функционирования;
- ручной анализ обновлений безопасности.
Методика устанавливает общие требования к каждому тесту, но выбор инструментов и способов тестирования остается за специалистом, проводящим тестирование. Результаты каждого теста должны быть оформлены в виде Отчета. Методика приводит требования к составу такого Отчета и его форму. Также Методика содержит правила принятия решений о результатах тестирования (о возможности установки обновлений в зависимости от результатов тестов).
Гарант ПРАЙМ
Определен порядок выполнения работ по тестированию ПО, предназначенного для устранения уязвимостей программных, программно-аппаратных средств, применяемых в информсистемах.
Обновления безопасности нужно тестировать для своевременного выявления в них потенциально опасных функциональных возможностей, незадекларированных разработчиком программных, программно-аппаратных средств, в т. ч. политических баннеров, лозунгов, призывов и иной противоправной информации.
Перечислены признаки незадекларированных возможностей обновлений безопасности.
Прописаны этапы и содержание работ.
Текст документа
Быстрый просмотр сохранённой копии