Всем привет!
Совсем недавно, 29 марта 2025 года, вступило в силу Положение банка России № 851-П, заменяющее Положение № 683-П. Одним из ключевых изменений документа является появление условий проведения оценки соответствия. В связи с этим в ближайшее время ожидается повышение спроса на проведение оценки соответствия по требованиям ОУД4. Эта статья содержит основные понятия, связанные с ОУД4, краткое описание требований регулятора и необходимых документированных свидетельств оценки и будет полезна аудиторам, разработчикам, менеджерам, а также всем тем, кто интересуется законодательством в ИБ. Будет здорово получить от вас обратную связь и конструктивную критику!
Основные понятия
Оценочный уровень доверия (далее - ОУД) состоит из определенной комбинации компонентов доверия, описанных в ГОСТ Р ИСО/МЭК 15408-3. В указанном стандарте определено семь иерархически упорядоченных ОУД. Каждый последующий ОУД представляет более высокое доверие, чем предыдущий, которое достигается заменой какого-либо компонента доверия иерархичным компонентом из того же семейства доверия и добавлением компонентов из других семейств доверия. Так, соответствие ОУД5 подразумевает под собой выполнение более жестких требований доверия безопасности (далее - ТДБ), чем соответствие ОУД2. Кроме того, конкретный ОУД может быть усилен путем добавления к нему компонентов доверия или их замены иерархичными компонентами из того же самого семейства доверия таким образом, чтобы итоговый набор компонентов доверия не повторял конкретный ОУД более высокого уровня. Вводящий усиление должен логически обосновать полезность и дополнительную ценность добавляемого к ОУД компонента доверия. Усиленный ОУД уровня N может быть обозначен как ОУДN+. Понятие «ОУД за исключением какого-либо составляющего его компонента доверия» не признано в ИСО/МЭК 15408 как допустимое.
Требования регуляторов
В соответствии с Федеральным законом № 162-ФЗ «О стандартизации», ГОСТы на территории России являются обязательными тогда, когда на них явно ссылаются какие-то нормативно-правовые акты уполномоченных органов государственной власти. Так, проведение оценки соответствия по ОУД4 обозначено в Положениях 757-П, 821-П, 851-П Банка России, который является регулятором в области ИБ финансовых организаций страны.
Финансовые организации могут быть кредитными, например, банки, и некредитными. Указанные понятия вводятся в ФЗ № 395-1 "О банках и банковской деятельности". При этом требования к порядку проведения оценки соответствия для всех видов финансовых организаций во многом схожи.
Положение 757-П касается некредитных финансовых организаций. В тексте положения обозначено требование, в соответствии с которым данные организации должны обеспечить использование клиентами только того прикладного ПО автоматизированных систем и приложений, предназначенного для осуществления финансовых операций и только того ПО обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях при использовании "Интернета", которое прошло сертификацию в системе ФСТЭК России или оценку соответствия не ниже ОУД4. По решению некредитной финансовой организации оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.
Положение 851-П распространяется на кредитные финансовые организации и филиалы иностранных банков. В положении содержится требование о том, что сертификация в системе ФСТЭК России или оценка соответствия не ниже ОУД4 требуется следующим категориями ПО: прикладное ПО автоматизированных систем и приложений, распространяемых клиентам для совершения действий в целях осуществления банковских операций и ПО, работающее на участках приема электронных сообщений через автоматизированные системы и приложения при использовании "Интернета". По решению кредитной организации, филиала иностранного банка оценка соответствия проводится самостоятельно или с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Положение 821-П касается отдельных видов финансовых организаций: операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ. В документе сказано, что необходимо проводить сертификацию в системе ФСТЭК России или оценку соответствия не ниже ОУД4 в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий, непосредственно связанных с осуществлением переводов денежных средств, и ПО, эксплуатируемого на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде, к исполнению в автоматизированных системах и приложениях с использованием "Интернета". При этом оценка соответствия также может проводиться собственными силами организации или с привлечением стороннего проверяющего.
Во всех приведенных формулировках заметно, что названия типов проверяемого ПО для каждого вида финансовых организаций немного отличаются. При этом во всех случаях в роли оценщиков могут выступать, как сотрудники организации, так и приглашенные специалисты.
Необходимые документы
Оценка соответствия некоторому уровню доверия проводится в несколько этапов. Прежде чем передать Заказчику Технический отчет об оценке (далее - ТОО), оценщик исследует предоставленные исходные данные (далее - ИД). К ИД относятся документированные и недокументированные свидетельства.
В состав документированных ИД, которые учитываются оценщиком при написании ТОО, входит:
Задание по безопасности, представляющее из себя "ТЗ" на разработку собственных функций безопасности объекта оценки (далее - ОО);
Проектная документация, которая содержит описание архитектурно-ориентированных особенностей ОО, описание интерфейсов ОО, описание подсистем и модулей ОО с точки зрения поддержания безопасности;
Эксплуатационная документация, в которой рассматриваются аспекты, относящиеся к безопасному применению ОО;
Документация жизненного цикла, которая включает в себя описание верхнего уровня жизненного цикла ОО, описание процессов управления элементами конфигурации, минимальный набор средств управления элементами конфигурации, физические, процедурные, организационные меры безопасности, инструментальные средства разработки, описание поставки ОО потребителю;
Тестовая документация разработчика.
Требования к содержанию ИД, на которые следует ориентироваться оценщику при создании ТОО, кратко изложены в ГОСТ Р ИСО/МЭК 15408-3 и более подробно в ГОСТ Р ИСО/МЭК 18045.
Задание по безопасности (далее - ЗБ) представляет из себя документ, ответственность за создание которого в соответствии с ГОСТ Р 57628-2017 лежит на разработчике (заказчике оценки соответсвия). Указанный документ составляется в первую очередь, до остальных документированных свидетельств.
После того, как ЗБ составлено, пишется проектная документация (далее - ПД), состав которой зависит от выбранного уровня доверия. В частности, для соответствия ОУД4 необходимо предоставить на оценку архитектуру безопасности, проект ОО, функциональную спецификацию и представление реализации, которые наиболее удобно оформить в виде отдельных документов.
В состав эксплуатационной документации (далее - ЭД) входят руководства и инструкции для различных пользовательских ролей, включая, но не ограничиваясь указанным списком: руководство пользователя по эксплуатации (с подготовительными процедурами или без), руководство администратора и руководство программиста.
Состав документации жизненного цикла не определен. Информация из класса ALC ГОСТ Р ИСО/МЭК 15408-3-2013, необходимая для предоставления в соответствии с выбранным ОУД, может быть предоставлена в разных документах.
Вид деятельности «Тестирование» предназначен для того, чтобы сделать заключение о том, что ОО функционирует в порядке, соответствующем описанию в ЗБ и ПД. Данная цель достигается путем комбинирования функционального тестирования, проводимого разработчиком и независимого тестирования, проводимого оценщиком. Тестовая документация как разработчика, так и оценщика, включает в себя тест-план, который может быть представлен в виде программы и методики испытаний, а также результаты тестирования, которые могут быть изложены в протоколе испытаний.
Анализ уязвимостей предназначен для того, чтобы сделать заключение о возможности использования недостатков или уязвимостей в ОО. Детализация анализа уязвимостей ПО приведена в ГОСТ Р 58143-2018. По итогам проделанной работы оценщик формирует отчет об анализе уязвимостей.
После того, как все перечисленные ИД проанализированы и отчеты по анализу уязвимостей и выборочному независимому тестированию составлены, оценщик пишет ТОО, требования к содержанию которого изложены в ГОСТ Р ИСО/МЭК 18045, и иные свидетельства работы.
Заключение
Оценка соответствия ОУД 4 - непростая процедура, которая требует участия профильных специалистов и тесного взаимодействия между оценщиком и разработчиком (заказчиком оценки соответствия). Проведение такой оценки актуально для многих финансовых организаций. Банк России заинтересован в том, чтобы ПО, используемое финансовым сектором, было безопасным.