Оценка и анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Обзор требований ЦБ по анализу уязвимостей ПО (ОУД4 и ГОСТ 15408-3)

Планировалось, что требования, содержащиеся в ОУД4 ГОСТ 15408-3-2013 и ГОСТ Р 57580, а также такие положения: 382-П, 683-П и 684-П, вступили в законную силу с 01.01.2020. Однако, Центробанк принял во внимание необходимость дополнительного времени для внедрения рекомендованных защитных мер по устранению рисков и отложил применение санкций за невыполнение требования по исследованию прикладного ПО по ОУД4, ГОСТ 15408-3-2013, продлив подготовительный период до 1.07.2020 для Банков в рамках выполнения требований 683-П. Отдельные положения нормативно-правовых актов станут обязательными для исполнения с января 2021, 2022 и 2023 годов. ЦБ периодически анализирует полученные отчеты независимых аудиторов по наличию уязвимостей прикладного ПО коммерческих банков и НФО. Цель тщательной проверки – оценивание результатов исследований на предмет соответствия ГОСТ 15408-3-2013 и ОУД4.

Согласно определению, ОУД4 – это оценочный уровень доверия, под которым подразумеваются мероприятия по выявлению/устранению ошибок и системных брешей. Разработчику потребуется вначале зафиксировать регламент проверок во внутренней документации, описать функции работы средств защиты информации. Можно заказать анализ уязвимостей, учитывая соответствие четвертому оценочному уровню доверия. Требования распространяются также на мобильные приложения, предназначенные для выполнения платежных и других финансовых операций. Кредитные учреждения и НФО вправе использовать готовые решения или разработать собственную программу под мобильные ОС. Но независимо от «происхождения», ПО должно соответствовать ОУД4

Требования ОУД4 и ГОСТ 15408 к разработчику при оценке безопасности

Степень доверия AVA_VAN.3, упомянутая в 3-ей части ГОСТа 15408, помогает выявить потенциальные угрозы и риски. Важно доказать отсутствие уязвимостей и брешей для обхода встроенной защиты. Исходя из компонента доверия ADV_ARC.1, понадобится написать текущую функциональную спецификацию, назначение API-функционала, параметров и способов реализации каждого отдельного компонента.

Нужно детально обосновать, связано ли некорректное срабатывание с брешами безопасности? Создатель банковского ПО должен описать каждый модуль объекта оценки, обеспечивающий выполнение функции безопасности, согласно ADV_TDS.3. Диаграмма UML-взаимодействия поможет разработчику наглядно представить выполнение протоколов безопасности. Комплект проектной и эксплуатационной документации передается сотрудникам компании-оценщика.

Проведение оценщиком анализа уязвимостей по ОУД4 и ГОСТу 15408

Оценщик сравнивает предоставленную информацию с исходным программным кодом, чтобы подтвердить либо опровергнуть утверждения разработчика. В обязанности независимого аудитора входит идентификация потенциальных уязвимостей програмного обеспечения по общедоступным источникам описанных уязвимостей либо иным способом.

При профессиональном анализе уязвимостей ГОСТ 15408 3 и ОУД4 верифицируются выявленные «изъяны» ПО. Если специалисты находят несоответствия информационной безопасности (ИБ) с технической документацией или значительные расхождения с инструкцией, то программный продукт отправляется на доработку. После устранения недостатков проводится повторный анализ уязвимостей по ОУД4.

Заказав у нас работу по анализу уязвимости, вы получите документацию по тестированию программного обеспечения и подробный технический отчет. Такие экспертизы касаются программ, разработанных под банковские и другие финансовые условия обслуживания клиентов.

Преимущества своевременной ОУД4 сертификации

Разработчик программных продуктов, банк или некредитная финорганизация обязаны привести программное обеспечение в соответствие с нормативными документами Центрального Банка по информационной безопасности до 1.07.2020 года. Формально регулятор обязал приступить к внедрению механизмов защиты конфиденциальных сведений с января 2020 года, но санкции будут применяться с июля месяца, но лишь в рамках 683-П. В этом контексте термин ОУД4 приобретает особое значение для организаций, занимающихся финансовой деятельностью. Соблюдение требований регулятора и применение ГОСТ 15408 для своевременного исследования прикладного ПО на ОУД4 сохранит бюджет кредитных учреждений и НФО и избавит от применения в отношении проверяемой организации санкций ЦБ.

Необходимость лицензии ФСТЭК при ОУД4

Проводить независимую оценку соответствия вправе специализированные компании, получившие официальную лицензию ФСТЭК. Мы обладаем всеми требуемыми лицензиями на проведение анализа уязвимостей программного обеспечения по ОУД4. Наши эксперты, проанализировав разработанную техническую документацию и исходный код программного софта, помогут выявить системные уязвимости и дать рекомендации по их устранению.