Главная / Глоссарий / Недекларированные возможности (НДВ)

Недекларированные возможности (НДВ) — что это, поиск, сертификация, защита

Недекларированные возможности (НДВ) — это функции программного обеспечения, не описанные в документации, которые могут быть использованы для нарушения безопасности информации (ГОСТ Р 56545-2015). Простыми словами: это скрытые «закладки» в программах, которые не задокументированы.

Что такое недекларированные возможности?

Недекларированные возможности (НДВ) — это функциональность программного обеспечения, которая не описана в документации на ПО, не соответствует заявленным функциям и может быть использована для нарушения конфиденциальности, целостности или доступности информации.

Термин НДВ часто используется как синоним «программной закладки» или «бэкдора» (backdoor), однако НДВ — более широкое понятие. Оно включает любые недокументированные функции, которые могут быть использованы как во вред, так и в легитимных целях. Например, скрытый API для отладки или недокументированная команда для диагностики — это тоже НДВ.

Основное отличие НДВ от уязвимости в том, что уязвимость — это случайный дефект (ошибка) в ПО, а НДВ — это намеренно внедрённая функция. Уязвимости могут быть устранены обновлением, НДВ — нет без изменения кода.

Виды НДВ

Недекларированные возможности классифицируются по различным признакам:

По способу активации:

Постоянные — всегда активны, используют штатные функции системы
Активируемые по событию — запускаются при определённых условиях (дата, команда, сетевой пакет, определённая последовательность действий)
Ключезависимые — активируются специальной последовательностью данных (пароль, ключ, синхропосылка)

По цели:

Несанкционированный доступ к данным (чтение, копирование)
Модификация или уничтожение информации
Скрытая передача данных (stealth-каналы, скрытые DNS-туннели)
Вывод из строя ПО или оборудования (логические бомбы)
Скрытое управление системой (удалённый доступ)

По месту нахождения:

В операционной системе (скрытые процессы, службы)
В прикладном ПО (документооборот, бухгалтерия)
В микропрограммах (firmware — BIOS, UEFI, контроллеры)
В драйверах устройств (наиболее опасны, работают на уровне ядра)

Методы поиска НДВ

Контроль отсутствия НДВ является обязательным этапом сертификации ПО по требованиям ФСТЭК России. Основные методы:

1. Статический анализ кода (SAST)

Автоматизированная проверка исходного кода с использованием анализаторов. Позволяет выявить подозрительные конструкции и вызовы функций, неиспользуемый («мёртвый») код, небезопасные функции (strcpy, gets, system), скрытые каналы передачи данных, жёстко заданные пароли и ключи.

2. Динамический анализ (DAST, Fuzzing)

Анализ поведения ПО во время выполнения. Позволяет выявить незадокументированные функции, активируемые при определённых условиях, несанкционированные сетевые соединения, нестандартное поведение при обработке данных.

3. Реверс-инжиниринг (дизассемблирование)

Глубокий анализ исполняемого кода для выявления скрытых функций. Используется, когда исходный код недоступен. Включает дизассемблирование, декомпиляцию, анализ трассировки выполнения, анализ сетевого трафика.

АО «РНТ» имеет аккредитованные лаборатории для проведения исследований ПО на отсутствие НДВ в рамках сертификации. Подробнее: услуги по сертификации.

Сертификация ПО на отсутствие НДВ

Порядок контроля отсутствия НДВ установлен Приказом ФСТЭК № 31 от 14.02.2020. Сертификация ПО на отсутствие НДВ включает следующие этапы:

Подача заявки в аккредитованный орган по сертификации
Анализ исходных текстов ПО — статический анализ кода с использованием сертифицированных инструментов
Динамическое тестирование — проверка поведения ПО в运行时 (runtime)
Проверка документации — анализ соответствия документации фактическому функционалу
Выдача сертификата соответствия — сроком до 3 лет с возможностью продления

Важно: Контроль НДВ обязателен для ПО, предназначенного для защиты государственной тайны, управления объектами КИИ и обработки персональных данных 1–2 уровней.

Нормативное регулирование НДВ

Основные нормативные документы, регулирующие контроль НДВ в России:

ГОСТ Р 56545-2015 — «Защита информации. Уязвимости информационных систем. Термины и определения». Устанавливает базовые понятия в области уязвимостей и НДВ
Приказ ФСТЭК № 31 от 14.02.2020 — «Об утверждении требований к контролю отсутствия недекларированных возможностей». Определяет порядок проведения контроля
ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий». Международный стандарт, адаптированный в РФ
Приказ ФСТЭК № 21 — общие требования к защите информации, включая требования к ПО

За использование ПО с выявленными НДВ на объектах КИИ и в госорганах предусмотрена административная и уголовная ответственность (ст. 273, 274.1 УК РФ).

Часто задаваемые вопросы

Чем НДВ отличается от уязвимости?

Уязвимость — это случайный дефект (ошибка) в ПО. НДВ — это намеренно внедрённая функция, не описанная в документации. Уязвимости могут быть устранены обновлением, НДВ — нет без изменения кода. НДВ опаснее, так как созданы целенаправленно.

Как проверяется ПО на НДВ?

Проводится статический и динамический анализ кода, а также реверс-инжиниринг. АО «РНТ» выполняет такие исследования в аккредитованной лаборатории в рамках сертификации средств защиты информации.

В каком ПО обязательно искать НДВ?

В ПО, которое подлежит сертификации по требованиям ФСТЭК: средства защиты информации (СЗИ), ПО для госорганов, ПО для объектов КИИ, ПО для обработки персональных данных 1–2 уровней.

Кто может проводить контроль НДВ?

Только организации, имеющие лицензию ФСТЭК на проведение работ по сертификации средств защиты информации. АО «РНТ» имеет такую лицензию и аккредитованную испытательную лабораторию.

Как защитить себя от НДВ в используемом ПО?

Использовать только сертифицированное ПО, проводить регулярный аудит безопасности, контролировать целостность файлов, использовать системы обнаружения атак (СОА «Форпост») и ограничивать сетевую активность приложений.

Услуги АО «РНТ» по контролю НДВ

Исследование ПО на НДВ

Статический и динамический анализ, реверс-инжиниринг, сертификация.

Аттестация объектов информатизации

Комплексная проверка соответствия требованиям ФСТЭК.

Проверьте своё ПО на наличие НДВ

АО «РНТ» проведёт исследование и сертификацию программного обеспечения

Заказать исследование Рассчитать стоимость

Недекларированные возможности (НДВ) — что это, поиск, сертификация, защита

Содержание

Что такое недекларированные возможности?

Виды НДВ

По способу активации:

По цели:

По месту нахождения:

Методы поиска НДВ

1. Статический анализ кода (SAST)

2. Динамический анализ (DAST, Fuzzing)

3. Реверс-инжиниринг (дизассемблирование)

Сертификация ПО на отсутствие НДВ

Нормативное регулирование НДВ

Часто задаваемые вопросы

Услуги АО «РНТ» по контролю НДВ

Исследование ПО на НДВ

Аттестация объектов информатизации

Проверьте своё ПО на наличие НДВ

Средства защиты от утечек информации:

Системы подавления беспилотников:

Защищенные компьютеры и АП для работы с информацией ограниченного доступа:

Услуги по информационной безопасности:

Биометрические системы:

Недекларированные возможности (НДВ) — что это, поиск, сертификация, защита

Содержание

Что такое недекларированные возможности?

Виды НДВ

По способу активации:

По цели:

По месту нахождения:

Методы поиска НДВ

1. Статический анализ кода (SAST)

2. Динамический анализ (DAST, Fuzzing)

3. Реверс-инжиниринг (дизассемблирование)

Сертификация ПО на отсутствие НДВ

Нормативное регулирование НДВ

Часто задаваемые вопросы

Связанные термины

Услуги АО «РНТ» по контролю НДВ

Исследование ПО на НДВ

Аттестация объектов информатизации

Проверьте своё ПО на наличие НДВ

Средства защиты от утечек информации:

Системы подавления беспилотников:

Защищенные компьютеры и АП для работы с информацией ограниченного доступа:

Услуги по информационной безопасности:

Биометрические системы: