"Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России)

7.4.3.8. Задача "Тестирование ОО"

Задачи ИБ, которые должны быть выполнены командой DevSecOps: оценка соответствия ОО требованиям ИБ, оценка остаточных рисков ИБ, принятие решения о допустимости выпуска ОО в промышленную эксплуатацию в отношении защищенности ОО и допустимости остаточных рисков ИБ.

Состав контрольных мероприятий безопасности, выполняемых в рамках задачи "Тестирование ОО", приведен в таблице 6.

Под тестированием в общем виде, если не предусмотрено уточнение вида, понимаются следующие варианты: модульное тестирование, функциональное тестирование, интеграционное тестирование, системное тестирование, регрессионное тестирование, приемочное тестирование, тестирование производительности, изоляционное/компонентное тестирование и различные тесты безопасности. В случае если в рамках определенного вида тестирования, не являющегося контрольной проверкой информационной безопасности, предусматривается включение в объем тестирования функционала СОИБ или функций безопасности, а также влияющих на них смежных компонент ОО, подразделение безопасности определяет свой уровень вовлеченности и участия.

В процессе тестирования могут применяться как ранее разработанные, так и подготовленные в рамках тестирования тесты, в которых прописываются подробные процедуры тестирования, сценарии тестирования, тестовые скрипты и тестовые данные. Автоматизированный тест можно выполнить, запустив набор тестовых скриптов или набор тестовых сценариев на конкретном инструменте тестирования без участия человека. Если полная автоматизация невозможна, рекомендуется обеспечить наивысший процент автоматизации.

В среде тестирования не рекомендуется использование реальных данных. В случае если для тестирования необходимы данные, максимально приближенные к реальным, рекомендуется формирование тестовых массивов данных путем необратимого обезличивания, маскирования и (или) искажения сведений.

Таблица 6 - Контрольные мероприятия безопасности, выполняемые в рамках задачи "Тестирование ОО"

Контрольные мероприятия безопасности

Подзадача жизненного цикла

Описание

Входные данные

Результат

Необходимые инструменты

Комментарий

Проверка соответствия ОО требованиям безопасности до размещения данных требований в базе знаний и размещения сборок в репозитории разработки

Создание пользовательского интерфейса и технических прототипов

Создание предварительной версии продукта.

Оценка прототипа на соответствие требованиям ИБ.

Перечень (список) векторов и актуальных атак.

Функциональные требования по безопасности, описывающие действия, которые должен выполнять ОО с целью нейтрализации угроз безопасности информации

Экспертная корректировка требований минимизации рисков ИБ в случае пересмотра перечня требований

Определение критериев прохождения контрольных проверок ИБ ОО

Определение требований к проведению тестов ИБ и подготовка плана тестирования

Определение требований к проведению тестирования

Согласование объемов и стратегии тестирования различных составляющих тестируемого ОО, приоритизация задач по тестированию

Критерии ИБ к проведению тестирования по безопасности.

Функциональные требования по безопасности

План тестирования ОО

Динамическое тестирование защищенности ОО

Динамический анализ исходных текстов программ

Выполнить динамический или интерактивный анализ безопасности приложения, анализ результатов, которые влияют на решение об изменении статуса кода

Исполняемый код

Отчет о тестировании, рекомендуемые меры по снижению рисков

Инструменты динамического анализа исходных текстов программ

Проведение автоматизированного тестирования безопасности

Автоматизированное тестирование

Проведение автоматизированного тестирования с помощью специализированных автоматизированных средств, анализ результатов, которые влияют на решение об изменении статуса кода

Исходные модули программы, исполняемый код, тестовые наборы входных данных, тестовые сценарии ИБ, исполняемый код тестовых сценариев ИБ

Отчет о тестировании, рекомендуемые меры по снижению рисков

Инструментальные средства для тестирования безопасности

Фаззинг-тестирование

Автоматизированное тестирование

Исследование ОО, направленное на оценку его свойств и основанное на передаче случайных или специально сформированных входных данных, отличных от данных, предусмотренных алгоритмом работы ОО

Исполняемый код, тестовые наборы входных данных

Отчет о тестировании, рекомендуемые меры по снижению рисков

Инструментальные средства для тестирования

Проведение интеграционного тестирования с сервисами СОИБ

Интеграционное тестирование

Разработка сценариев тестирования интеграции модулей, их взаимодействие между собой, а также интеграция подсистем в одну общую систему

Исполняемый код, сценарии интеграционного тестирования, тестируемые программные блоки

Отчет о тестировании, рекомендуемые меры по снижению рисков

Инструментальные средства

Отчет должен показать сравнение результатов теста в соответствии с архитектурным и проектным решением по ИБ

Функциональное тестирование ФБО

Функциональное тестирование

Проведение функционального тестирования для определения соответствия ФБО их ФТБ

Исполняемый код, тестовые наборы входных данных

Отчет о тестировании, рекомендуемые меры по снижению рисков

Инструментальные средства тестирования

Проведение тестов по безопасности ОО

Приемочное тестирование

Проведение тестирования безопасности и тестирования на проникновение в рамках комплексного приемочного тестирования для определения уровня готовности ОО к последующей эксплуатации

Исполняемый код, тестовые наборы входных данных, тестовые сценарии

Протокол тестирования

Набор тестовых инструментов, сканер на соответствие требованиям ИБ

Данные тесты проводятся на окончательной конфигурации.

При проведении тестирования на проникновение могут использоваться не только реестры известных угроз информационной безопасности и уязвимостей ПО, но и базы со сценариями эксплуатации самих уязвимостей

Разработка эксплуатационной документации с учетом аспектов безопасности

Разработка эксплуатационной документации

Обеспечение наличия в эксплуатационной документации требований к параметрам конфигурации механизмов безопасности, руководства пользователя по эксплуатации, описания обновления ОО

Проектная документация, спецификация требований к ОО

Эксплуатационная документация

Инструментальные средства для проектирования

Проведение контролей ИБ (security controls)

Проверка соответствия ОО перед переносом в среду промышленной эксплуатации

Анализ результатов тестирования и отчетов о проверке.

Отчеты о тестировании, отчет о проверке функционального тестирования ОО, протоколы тестирований

Заключение по контролям для принятия решений об изменении статуса кода/переносе в другую среду

Инструменты проведения контроля ИБ

Принятие решения об изменении статуса кода/переносе в другую среду

7.4.3.7. Задача "Реализация (разработка) ОО" 7.4.3.9. Задача "Подготовка и перенос ОО в промышленную эксплуатацию"