ГОСТ Р 51188-98

1. ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ
2. 1. ОБЛАСТЬ ЗАСТОСУВАННЯ
3. 2. Нормативні посилання
4. 3. Визначення і скорочення
5. 4. ПОРЯДОК ПРОВЕДЕННЯ ВИПРОБУВАНЬ програмних засобів НА НАЯВНІСТЬ КОМП'ЮТЕРНИХ ВІРУСІВ
6. 5. МЕТОДИ ПРОВЕДЕННЯ ВИПРОБУВАНЬ програмних засобів НА НАЯВНІСТЬ КОМП'ЮТЕРНИХ ВІРУСІВ
7. 6. Вимоги до документацiї НА ВИПРОБУВАННЯ програмних засобів
8. ПОЯСНЕННЯ про можливості різних методів виявлення та усунення комп'ютерних вірусів
9. ІНФОРМАЦІЙНІ дані

УДК 681.3.06.001.4: 006.354

Група П85

ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ

Захист інформації

Information security. Software testing for the existence of computer viruses. The sample manual

ОКС 35.080
ОКСТУ 4002

Дата введення 1999-07-01

1. ОБЛАСТЬ ЗАСТОСУВАННЯ

1.1. Цей стандарт поширюється на випробування програмних засобів (ПС) і їх компонентів, цілі яких - виявити в цих ПС та усунути з них комп'ютерні віруси (KB) силами спеціальних підприємств (підрозділів), і встановлює загальні вимоги до організації та проведення таких випробувань.

1.2. Вимоги, встановлені цим стандартом, спрямовані на забезпечення спеціальної обробки ПС з метою виявлення KB, а також на усунення наслідків, викликаних можливими впливами KB на операційні системи, системні і призначені для користувача файли з програмами і даними, початкові сектори магнітних дисків, таблиці розміщення файлів і ін .

1.3. Цей стандарт встановлює типові вимоги, що пред'являються до випробувань ПС на наявність KB, в тому числі:

• - до складу заходів з підготовки та проведення випробувань;

• - до складу, структури та призначенням основних частин програмно-апаратного стенду, що забезпечує проведення випробувань;

• - до вибору і використання методів проведення випробувань;

• - до тестових (антивірусним) програмами, що виявляє і знищує KB;

• - до складу та змісту документації, що фіксує порядок проведення випробувань і їх результати.

1.4. Цей стандарт призначений для застосування в випробувальних лабораторіях, які проводять сертифікаційні випробування ПС на виконання вимог захисту інформації.

2. Нормативні посилання

У цьому стандарті використано посилання на такий стандарт:

3. Визначення і скорочення

У цьому документі використано такі терміни та визначення:

• Захист програмних засобів - організаційні, правові, технічні та технологічні заходи, спрямовані на запобігання можливих несанкціонованих дій по відношенню до програмних засобів та усунення наслідків цих дій.

• Сертифікація - дії третьої сторони, мета яких - підтвердити (за допомогою сертифіката відповідності) те, що виріб (в тому числі програмний засіб) або послуга відповідає певним стандартам або іншим нормативним документам.

• Профілактика - систематичні дії експлуатаційного персоналу, мета яких - виявити і усунути несприятливі зміни в властивості та характеристики використовуваних програмних засобів, зокрема перевірити експлуатовані, збережені і (або) знову отримані програмні засоби на наявність комп'ютерних вірусів.

• Ревізія - перевірка знову отриманих програм спеціальними засобами, що проводиться шляхом їх запуску в контрольованому середовищі.

• Несанкціонований доступ до програмних засобів - доступ до програм, записаним в пам'яті ЕОМ або на машинному носії, а також відбитим в документації на ці програми, здійснений з порушенням встановлених правил.

• Вакцинація - обробка файлів, дисків, каталогів, що проводиться із застосуванням спеціальних програм, що створюють умови, подібні до тих, які створюються певним комп'ютерним вірусом, і ускладнюють повторне його появу.

• Комп'ютерний вірус - програма, здатна створювати свої копії (необов'язково збігаються з оригіналом) і впроваджувати їх у файли, системні області комп'ютера, комп'ютерних мереж, а також здійснювати інші деструктивні дії. При цьому копії зберігають здатність подальшого поширення. Комп'ютерний вірус відноситься до шкідливих програм.

У цьому стандарті прийняті такі скорочення:

• - ПС - програмні засоби.

• - KB - комп'ютерні віруси.

• - ПЕОМ - персональна електронно-обчислювальна машина (персональний комп'ютер).

• - ЕОМ - електронно-обчислювальна машина.

4. ПОРЯДОК ПРОВЕДЕННЯ ВИПРОБУВАНЬ програмних засобів НА НАЯВНІСТЬ КОМП'ЮТЕРНИХ ВІРУСІВ

4.1. Випробування ПС на наявність KB слід проводити на спеціально обладнаному програмно-апаратному випробувальному стенді, в складі якого повинні бути необхідні технічні та програмні засоби, в тому числі антивірусні програми.

4.2. Підприємство [підрозділ (далі - організація)], що проводить перевірку ПС на наявність KB, має підтримувати випробувальний стенд в працездатному стані і не допускати проникнення KB в програми і дані до початку проведення випробувань.

4.3. Організація, яка проводить перевірку ПС на наявність KB, повинна визначити і зафіксувати в програмі випробувань мета і обсяг випробувань, а також свої зобов'язання, що стосуються заходів
захисту перевіряються ПС від їх зараження KB з урахуванням вимог ГОСТ 19.301 .

4.4. Заходи щодо захисту перевіряються ПС від зараження KB можуть включати в себе:

• - розробку і виконання комплексу заходів з профілактики, ревізії та вакцинації використовуваних ПС;

• - підготовку посадових осіб, відповідальних за проведення випробувань ПС;

• - розробку і вибір способів застосування програмно-технічних засобів для виявлення KB в ПС;

• - взаємодія організацій, що замовляють і проводять випробування ПС;

• - контроль за проведенням випробувань ПС;

• - оцінку ефективності застосовуваних антивірусних засобів;

• - вдосконалення системи заходів щодо захисту ПС від KB на основі сучасних досягнень інформаційної технології;

• - встановлення адміністративної відповідальності посадових осіб за виконання вимог захисту ПС від KB;

• - призначення відповідальних посадових осіб і визначення їх повноважень, що відносяться до організації та проведення заходів щодо захисту ПС від КВ.

4.5. Організація, яка виконує перевірку ПС на наявність KB, повинна забезпечити весь процес перевірки необхідними обчислювальними технічними і програмними засобами, а також призначити спеціально навчених співробітників для проведення випробувань.

4.6. Організація, яка виконує перевірку ПС на наявність KB, повинна призначити постійного представника, який отримує певні повноваження і несе постійну відповідальність за виконання вимог, встановлених цим стандартом.

4.7. До складу технічних засобів випробувального стенду повинні входити:

• - сумісні ПЕОМ;

• - необхідні елементи телекомунікаційних мереж;

• - канали зв'язку.

4.8. Конкретний набір технічних компонентів випробувального стенду повинен бути таким, щоб були забезпечені умови відтворення всіх необхідних зовнішніх впливів на ПС в процесі проведення випробувань.

Перед початком випробувань склад технічних засобів, що використовуються для проведення перевірок ПС на наявність KB, повинен бути узгоджений з організацією, замовляє ці перевірки. При цьому узгодження повинно бути оформлено відповідним актом.

4.9. Поряд з компонентами, зазначеними в 4.7, до складу випробувального стенду можуть входити відповідні апаратні антивірусні засоби. До них відносяться:

• - комп'ютери спеціальної конструкції, завдяки якій несанкціонований доступ до даних і зараження файлів KB можуть бути істотно утруднені;

• - спеціальні плати, що підключаються до одного з роз'ємів ПЕОМ і виконують ті чи інші функції захисту інформації;

• - електронні ключі захисту інформації, головною перевагою яких є їх багатофункціональність.

4.10. Склад і функціональне призначення програмних засобів випробувального стенду визначаються системою захисту, що застосовується при проведенні випробувань ПС на наявність КВ.

4.11. Програмні засоби, що входять до складу випробувального стенду, повинні забезпечувати:

• - регулярне ведення архівів змінених файлів;

• - контрольну перевірку відповідності довжини і значення контрольних сум, що вказуються в сертифікаті і отриманих програмах;

• - систематичне обнулення перших трьох байтів сектора початкового завантаження на отриманих несистемних дискетах;

• - інші види контролю цілісності програм перед зчитуванням з дискети;

• - перевірку програм на наявність відомих видів KB;

• - виявлення спроб несанкціонованого доступу до випробувальних (інструментальним) та (або) випробуваним програм і даних;

• - вакцинацію файлів, дисків, каталогів з використанням резидентних програм-вакцин, що створюють при функціонуванні умови для виявлення KB даного виду;

• - автоконтроль цілісності програм перед їх запуском;

• - видалення виявленого KB з заражених програм чи даних і відновлення їх первісного стану.

4.12. Склад програмних засобів, які використовуються при проведенні випробувань на прохання замовника, повинен бути документально оформлений відповідно до вимог замовника.

4.13. Терміни проведення випробувань повинні бути встановлені в програмі та методиці випробувань за домовленістю між замовником і організацією, яка проводить випробування.

4.14. Перевіряються ПС повинні бути передані для випробувань на магнітних носіях (дискетах) разом з документацією.

4.15. Склад робіт по підготовці і проведенню випробувань ПС на наявність KB в загальному випадку наступний:

• - ознайомлення з документацією на ПС;

• - вибір методів перевірки ПС на наявність KB;

• - визначення конфігурації програмних і апаратних засобів випробувального стенду;

• - підготовка програмно-апаратного випробувального стенду до проведення випробувань;

• - організація і проведення випробувань;

• - оформлення протоколу перевірки ПС і його передача в орган по сертифікації відповідно до 6.2 цього стандарту;

• - передача замовнику перевірених ПС на магнітних носіях (дискетах);

• - встановлення за погодженням із замовником правил (порядку) гарантійного супроводу перевірених ПС.

4.16. Перевірка ПС на наявність KB в загальному випадку включає в себе:

• - пошук вірусоподібних фрагментів кодів ПС;

• - моделювання ситуацій, імовірно здатних викликати активізацію KB;

• - аналіз особливостей взаємодії компонентів ПС з навколишнього операційним середовищем;

• - відображення результатів перевірки у відповідній документації.

5. МЕТОДИ ПРОВЕДЕННЯ ВИПРОБУВАНЬ програмних засобів НА НАЯВНІСТЬ КОМП'ЮТЕРНИХ ВІРУСІВ

5.1. При випробуваннях ПС на наявність KB використовують дві основні групи методів виявлення KB і захисту програм від них: програмні та апаратно-програмні.

До програмних методів належать:

• - сканування;

• - виявлення змін;

• - евристичний аналіз;

• - резидентні "сторожа";

• - вакцинацію ПС.

Апаратно-програмні методи засновані на реалізації будь-якого (будь-яких) із зазначених вище програмних методів захисту ПС від KB за допомогою спеціальних технічних пристроїв.

5.2. При виборі методів випробувань і захисту ПС від KB слід керуватися відомостями про сутність кожного з них, наведеними в 5.4-5.9, а також додатковими поясненнями про їхні можливості, достоїнства і недоліки, наведеними в додатку А.

5.3. У конкретних випробуваннях можуть бути використані способи і засоби виявлення KB, реалізують один з методів, зазначених у 5.1, або їх комбінації.

5.4. Метод сканування полягає в тому, що спеціальна антивірусна програма, яка називається сканером, послідовно переглядає перевіряються файли в пошуку так званих "сигнатур" відомих КВ. При цьому під сигнатурою розуміють унікальну послідовність байтів, що належить конкретному відомому KB і не зустрічається в інших програмах.

5.5. Метод виявлення змін полягає в тому, що антивірусна програма попередньо запам'ятовує характеристики всіх областей диска, які можуть піддаватися нападу KB, а потім періодично перевіряє їх. Якщо зміна цих характеристик буде виявлено, то така програма повідомить користувачеві, що, можливо, в комп'ютер потрапив КВ.

Антивірусні програми, засновані на виявленні змін програмного середовища, називаються ревізорами.

5.6. Метод евристичного аналізу реалізується за допомогою антивірусних програм, які перевіряють інші програми і завантажувальні сектори дисків і дискет, намагаючись виявити в них код, характерний для КВ. Так, наприклад, евристичний аналізатор може виявити, що у перевіреній програмі є код, який встановлює резидентний модуль в пам'яті.

5.7. У методі резидентних сторожів використовуються антивірусні програми, які постійно знаходяться в оперативній пам'яті комп'ютера і відстежують всі підозрілі дії, що виконуються іншими програмами. Резидентний сторож повідомить користувачеві про те, що будь-яка програма намагається змінити завантажувальний сектор жорсткого диска або дискети, а також здійсненний файл.

5.8. Вакцинація встановлює спосіб захисту будь-якої конкретної програми від KB, при якому до цієї програми приєднується спеціальний модуль контролю, що стежить за її цілісністю.

При цьому перевіряються контрольна сума програми або будь-які інші її характеристики. Якщо KB заражає вакцинована файл, модуль контролю виявляє зміна контрольної суми файлу і повідомляє про це користувачеві.

5.9. Апаратно-програмні методи захисту ПС від KB реалізуються за допомогою спеціалізованого пристрою - контролера, що вставляється в один з роз'ємів розширення комп'ютера, і спеціального програмного забезпечення, що керує роботою цього контролера і реалізує один або декілька з програмних методів, зазначених вище.

6. Вимоги до документацiї НА ВИПРОБУВАННЯ програмних засобів

6.1. Документація, що оформляється при підготовці і проведенні випробувань ПС на наявність KB, повинна містити відомості, що відображають мету, обсяг, порядок проведення та результати таких випробувань.

6.2. Випуск документа виду "Протокол перевірки програмних засобів на відсутність комп'ютерних вірусів" є обов'язковим. Форму документа "Протокол перевірки програмних засобів на відсутність комп'ютерних вірусів" визначають в установленому порядку і передають до органу з сертифікації.

6.3. Інші види документів, що випускаються за результатами випробувань ПС на наявність KB, і додаткові вимоги до їх змісту визначають за погодженням між організацією, яка виконує перевірку ПС, і організацією, замовляє цю перевірку.

6.4. Документація, що відноситься до випробувань ПС на наявність KB, може бути представлена ​​на магнітних носіях даних.

Додаток А
(Довідковий)

ПОЯСНЕННЯ
про можливості різних методів виявлення та усунення комп'ютерних вірусів

А.1. Сканування є найпростішим програмним методом пошуку КВ.

Антивірусні програми-сканери можуть гарантовано виявити тільки вже відомі KB, які були попередньо вивчені і для яких була визначена сигнатура.

Програмами-сканерів не обов'язково зберігати в собі сигнатури всіх відомих КВ. Вони можуть, наприклад, зберігати тільки контрольні суми сигнатур. Антивірусні програми-сканери, які можуть видалити виявлені KB, зазвичай називаються полифагами.

Для ефективного використання антивірусних програм, що реалізують метод сканування, необхідно постійно оновлювати їх, отримуючи найостанніші версії.

А.2. Метод виявлення змін заснований на використанні антивірусних програм-ревізорів, які запам'ятовують в спеціальних файлах образи головного завантажувального запису, завантажувальних секторів логічних дисків, параметри всіх контрольованих файлів, а також інформацію про структуру каталогів і номера поганих кластерів диска. Можуть бути перевірені і інші характеристики комп'ютера: об'єм встановленої оперативної пам'яті, кількість підключених до комп'ютера дисків і їх параметри.

Програми-ревізори потенційно можуть виявити будь-які KB, навіть ті, які раніше не були відомі. Однак слід враховувати, що не всі зміни викликані вторгненням КВ. Так, завантажувальний запис може змінитися при оновленні версії операційної системи, а деякі програми записують змінювані дані всередині свого здійсненного файлу. Командні файли змінюються ще частіше; так, наприклад, файл AUTOEXEC.ВАТ зазвичай змінюється під час установки нового програмного забезпечення.

Програми-ревізори не допоможуть і в тому випадку, коли користувач записує в комп'ютер новий файл, заражений КВ. При цьому, якщо KB заразить інші програми, уже враховані ревізором, він буде виявлений.

Додатковою можливістю програм-ревізорів є здатність відновити змінені (заражені) файли і завантажувальні сектори на підставі запомненной раніше інформації.

Антивірусні програми-ревізори не можна використовувати для виявлення KB в файлах документів, так як ці файли постійно змінюються. Тому для контролю за даними файлами слід використовувати програми-сканери або евристичний аналіз.

А.3. Евристичний аналіз дозволяє виявляти раніше невідомі KB, причому для цього не треба попередньо збирати дані про файлову систему, як вимагає метод виявлення змін.

До основних недоліків евристичного методу відносяться наступні:

• - принципово не можуть бути виявлені всі KB;

• - можлива поява деякої кількості помилкових сигналів про виявлення KB в програмах, що використовують вірусоподібні технології (наприклад, антивіруси).

А.4. Більшість резидентних сторожів дозволяє автоматично перевіряти всі запускаються програми на зараження відомими КВ. Така перевірка буде займати деякий час, і процес завантаження програми сповільниться, але зате користувач буде впевнений, що відомі KB не зможуть активізуватися на його комп'ютері.

Резидентні сторожа мають дуже багато недоліків, які роблять цей клас програм малопридатним для використання. Багато програм, навіть не містять KB, можуть виконувати дії, на які реагують резидентні сторожа. Наприклад, звичайна команда LABEL змінює дані в завантажувального сектору та викликає спрацювання сторожа. Тому робота користувача буде постійно перериватися дратівливими повідомленнями антивіруса. Крім того, користувач повинен буде кожен раз вирішувати, чи викликано це спрацьовування комп'ютерним вірусом чи ні. Як показує практика, рано чи пізно користувач відключає резидентний сторож. І, нарешті, ще один недолік резидентних сторожів полягає в тому, що вони повинні бути постійно завантажені в оперативну пам'ять і, отже, зменшують обсяг пам'яті, доступної іншим програмам.

А.5. Основними недоліками методу вакцинації є можливість обходу такого захисту при використанні комп'ютерним вірусом так званої "стелс-технології", а також необхідність зміни коду програм, через що деякі програми починають працювати некоректно або можуть перестати працювати.

А.6. Апаратно-програмні методи являють собою один з найнадійніших способів захисту ПС від зараження КВ. Завдяки тому, що контролер такого захисту підключений до системної шини комп'ютера, він отримує повний контроль над усіма зверненнями до дискової підсистеми комп'ютера. Програмне забезпечення апаратної захисту дозволяє вказати області файлової системи, які не можна змінювати. Користувач може захистити головний завантажувальний запис, завантажувальні сектори, виконувані файли, файли конфігурації і т.д. Якщо апаратно-програмний комплекс виявить, що будь-яка програма намагається порушити встановлену захист, він може не тільки повідомити про це користувачеві, але і заблокувати подальшу роботу комп'ютера.

Апаратний рівень контролю за дисковою підсистемою комп'ютера не дозволяє KB замаскувати себе. Як тільки KB проявить себе, він відразу буде виявлений. При цьому абсолютно байдуже, як саме "працює" KB і які кошти він використовує для доступу до дисків і дискет.

Апаратно-програмні засоби захисту дозволяють не тільки захистити комп'ютер від KB, але також вчасно припинити виконання програм, націлених на руйнування файлової системи комп'ютера. Крім того, апаратно-програмні засоби дозволяють захистити комп'ютер від некваліфікованого користувача, не даючи йому видалити важливу інформацію, переформатувати диск, змінити файли конфігурації.

Недоліком апаратно-програмних методів є принципова можливість пропустити KB, якщо вони не намагаються змінювати захищені файли і системні області.

ІНФОРМАЦІЙНІ дані

1. РОЗРОБЛЕНО І ВНЕСЕНО 27 Центральним науково-дослідним інститутом Міністерства Російської Федерації (27 ЦНДІ МО РФ) і Науково-консультаційним центром
щодо створення та застосування інформаційних технологій (НКЦ "ЦНДІКА-СПИН")

2. ПРИЙНЯТО ТА ВВЕДЕНО В ДІЮ наказом Держстандарту України від 14 липня
1998 р №295

3. ВВЕДЕНО ВПЕРШЕ

КЛЮЧОВІ СЛОВА: випробування програмних засобів, комп'ютерні віруси, методи проведення випробувань програмних засобів, документація на випробування програмних засобів

Джерело: Проскочив по файл-луні BOOK Fido: 16.06.1999 14:11