Средства контроля (анализа) исходных текстов программного обеспечения - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=12699&from=0

К списку тем | Добавить сообщение


Автор: Влад | 67138 23.11.2016 10:54
Добрый день!

Вопрос в связи с грядущими изменениями в законодательство о лицензировании.

По новым требованиям, предъявляемым, например, к лицензии ТЗКИ, необходимо:

_______________
наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:

измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;
_______________

Касательно последнего, а именно средств контроля (анализа) исходных текстов программного обеспечения.

1) Правильно ли я понимаю, что необходимо иметь сертифицированные ФСТЭК средства контроля (анализа) исходных текстов программного обеспечения?

2) На текущий момент в продаже только 3 (три) сертифицированных средства:
- АИСТ-С
- АК-ВС 1.0
- АК-ВС 2.0
Т.к. это ПО предназначено в основном для исходных кодов написанных на языках программирования C, C++, Java, то вопрос такой: если в рамках лицензионной деятельности необходимо анализировать исходные тексты, написанные на языках программирования, отличных от C, C++, Java, то как быть?

3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется?
Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ. Например, если в рамках лицензионной деятельности разрабатывается на Pascal (например) программное СЗИ и использовать сертифицированное средство контроля (анализа) исходных текстов ПО не представляется возможным.

Автор: malotavr | 67140 23.11.2016 12:27
1. Да

2. Для веб-интерфейсов к СЗИ есть еще PT Application Inspector (заканчивается процесс сертификации)

3. Все намного интереснее :) Лицензию вы получите с любым набором сертифицированных средств контроля. Проблемы начнутся при сертификации разработанных вами СЗИ.

Есть ГОСТ Р 56939-2016, который описывает, что вы должны делать в части контролч исходников. При сертификации СЗИ вы должны будете показать, как именно вы обеспечиваете такой контроль сертифицированными средствами контроля. Если окажется, что ваше СЗИ написано на Паскале и вы не можете обеспечить контроль исходных текстов, сертификат вы не получите.

У регулятора очень простая позиция: если разработчик не может проконтролировать (или доказать, что контролирует) отсутствие уязвимостей, которые его собственные программисты вносят в его собственный продукт, то такому продукту нечего делать на рынке СЗИ.

Автор: Влад | 67141 23.11.2016 13:26
"Если окажется, что ваше СЗИ написано на Паскале и вы не можете обеспечить контроль исходных текстов, сертификат вы не получите."

Как же выходить из этой потенциально возможной ситуации? Передавать свою разработку самой ФСТЭК для последующего контроля исходных текстов, если такое вообще допустимо/возможно?

Автор: malotavr | 67146 23.11.2016 21:31
> Как же выходить из этой потенциально возможной ситуации? Передавать свою разработку самой ФСТЭК для последующего контроля исходных текстов, если такое вообще допустимо/возможно?

Вы, наверное, не поняли. Вариантов ровно два. Или разработчик использует средства разработки, для которых он может продемонстрировать контроль качества кода доверенными средствами, или он не работает на рынке, в котором требуется сертификация СЗИ. Никаких других вариантов не предлагается. Это - проблема разработчика СЗИ, а не регулятора.

Переход к такой жесткой схеме произойдет не завтра и не через год, но работа в этом направлении ведется.

Автор: oko | 67147 23.11.2016 21:39
Вывод: писать only for *nix и на C, C++. Вестимо, к этому все и идет. Как же Астра и Роса много шумихи наделали (бедные-бедные Debian и Mandriva)...

Автор: malotavr | 67149 23.11.2016 21:58
> Вывод: писать only for *nix и на C, C++
+ С#, Java, PHP, Python, ABAP и т. п. Платформа как раз не принципиальна, например, динамический анализ софта для тех же андроидов делается в режиме эмуляции платформы.

Нормальная разработка методов только статического анализа одного языка - это серьезная научно-исследовательская работа на несколько десятков человеколет (т.е. делается за год-два, но это работа для пары десятков специалистов разного профиля). Плюс динамический анализ - тоже нетривиальная задача. Поэтому прежде, чем вложиться в анализ определенного языка, вендор внимательно смотрит, а много ли потребителей на анализ этого языка. Ну вот конкретно с Паскалем особого ажиотажа не наблюдается.

Автор: oko | 67150 23.11.2016 22:46
to malotavr
Тут была насмешка над ограничениями существующих анализаторов, приведенных топикстартером. А тот же GNU/Linux (и на его базе отечественные дистрибутивы-форки) нативно как раз gcc и g++ поддерживает. С Java, вроде, не так, ибо Oracle. Про остальные ЯП вообще молчу, ибо "недопустимы" на текущий момент, как выяснилось...
Ждем СЗИ НСД на bash/sh! +100500 скриптов гарантии защищенности, ага :)

Автор: malotavr | 67152 24.11.2016 00:29
> Тут была насмешка над ограничениями существующих анализаторов, приведенных топикстартером.

Это понятно :) Но новые разрабатываются, под какие языки - я перечислил :)
В первую очередь - самые популярные языки для опенсорсных проектов и для фронтендов,

Прошло несколько месяцев

Автор: SewenKlan, АйЭсТи | 71276 25.04.2017 12:51
Как я понял речь то идет о контроле (анализе) исходных текстов программного обеспечения. Именно что программного обеспечения, а не СЗИ.
Вот только не понятно, как же запросить исходники ПО или еще лучше исходники ОС, для анализа?
И что же делать, ведь изменения вступят в силу уже через полтора месяца! Все кто не хочет потерять лицензию необходимо закупать, заведомо бесполезные анализаторы?
Может кто уже запрашивал или уточнял у ФСТЭКа?

Автор: SewenKlan, АйЭсТи | 71277 25.04.2017 13:28
Да, речь идет о постановлении правительства от 15.06.2016г. № 541 «О внесении изменений в некоторые акты правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности».

Автор: WORM, MK | 71338 26.04.2017 17:31
SewenKlan,
ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

Автор: SewenKlan, АйЭсТи | 71535 27.04.2017 08:19
Где можно посмотреть этот перечень? Каким документом (или письмом) отменили 541?

Автор: WORM, MK | 71536 27.04.2017 09:35
А сайт ФСТЭК самостоятельно не пробовали искать?

http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/438-perechen-utverzhden-direktorom-fstek-rossii-3-aprelya-2012-g

И причем здесь ПП-541?

Прошел месяц

Автор: Влад | 72353 31.05.2017 09:31
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.
А причём тут Перечень, если есть чёткое требование ПП от 15 июня 2016 года N 541, которое никто не отменял:

>>в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
....
....

программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;

Так нужно ли иметь в наличии средство контроля (анализа) исходных текстов ПО или нет? Узнавал ли кто-нибудь в ФСТЭК?

Прошел год

Автор: Никита, Завод | 94188 04.06.2018 10:21
+ Владу, вопрос животрепещущий.

Прошел месяц

Автор: StiON | 96084 03.07.2018 10:32
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода.
А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31:

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом.

Автор: StiON | 96085 03.07.2018 10:32
>>ФСТЭК уже передумала. В новой версии их перечня анализаторов исх. текстов нет.

WORM, Вы не правы - ФСТЭК не передумала и ни от чего не отказывалась. Просто Вы дали ссылку не на тот перечень: анализатор кода необходимо иметь лицензиатам по ПП 171 (разработка и производство средств защиты КИ), а не лицензиатам по ПП 79 (ТЗКИ). Вы дали ссылку на перечень по ПП 79 и естественно в нем нет Анализатора кода.
А вот ссылка на правильный перечень по ПП 171, и в нем Анализатор кода идет под № 31:

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1383-perechen-utverzhden-direktorom-fstek-rossii-29-avgusta-2017-g

Но есть небольшое послабление - анализатор кода не должен быть обязательно сертифицированным - в перечне отсутствует указание об этом.

Автор: WORM, MK | 96086 03.07.2018 10:50
to StiON,

Я дал ссылку именно на тот перечень. Почитайте начало ветки и вы все поймете. Не надо додумывать, просто почитайте что пишет топикстартер.

Прошло около недели

Автор: StiON | 96876 11.07.2018 13:31
to WORM,
А я и не додумывал - прочитал ветку сначала, прочитал сообщение топикстартера. Цитирую:

>>3) Будет ли регулятор (ФСТЭК) при проверках обращать внимание не только на наличие средства контроля (анализа) исходных текстов ПО, но и на то, как это ПО используется?
Особенно этот вопрос актуален в отношении лицензии на деятельность по созданию/разработке СЗИ.

Т.е. топикстартер задавал вопрос не только про использование анализатора исходных кодов в части лицензирования ТЗКИ, но и в части лицензирования на разработку и производство СЗКИ.

Ну и опять же Влад в сообщении выше прав: в перечне для ТЗКИ анализатор кода отсутствует, но зато он присутствует в тексте самого Положения о лицензировании ТЗКИ (Положение, утвержденное ПП № 79, подпункт "в" пункта 5):

"в) наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании оборудования, необходимого для выполнения работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения, в соответствии с определяемым Федеральной службой по техническому и экспортному контролю перечнем, в том числе:
...
программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения;..."

Все еще будете утверждать, что ФСТЭК передумал? Или скажете, что ФСТЭК то передумал, а Правительство не передумало?)

Автор: Влад | 96882 11.07.2018 14:14
Спасибо, что поддерживаете тему.

Действительно, до сих пор непонятно, уж мне точно, что именно нужно согласно требования ПП №171 в части наличия средств контроля (анализа) исходных текстов программного обеспечения.

Формулировка требования составлена отчасти неоднозначно, по-крайней мере для меня. Как я понимаю предложение:

1) средство контроля (анализа) исходных текстов программного обеспечения не должно быть обязательно сертифицированным;

2) судя по скобкам, между понятиями "контроль" и "анализ" нет разницы. Т.е. под анализом можно понимать контроль. Если это так, то проводить контроль исходных текстов ПО можно и с помощью программного средства подсчёта контрольных сумм исходного текста ПО. А таких средств, тем более, несертифицированных, довольно много. В ОС Windows и Linux, есть даже встроенные консольные программы для подсчёта контрольных сумм.

Хотелось бы почитать информационное письмо, разъяснение от ФСТЭК по данному поводу, но подобное я не нашёл. Направлять же официальный запрос в ФСТЭК, не хочется, т.к. спрашивать у регулятора как выполнять требование, уже имея лицензию, как-то странно и может повлечь неприятные последствия. Привлекать внимание, себе дороже.


Просмотров темы: 9337


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100