Оценка и анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

Обзор требований ЦБ по анализу уязвимостей ПО (ОУД4 и ГОСТ 15408-3)

Согласно определению, ОУД4 – это оценка уровня доверия, под которой подразумеваются мероприятия по выявлению уязвимостей и контролю отсутствия не декларированных возможностей. Разработчику потребуется сначала зафиксировать регламент проверок во внутренней документации, описать функции работы средств защиты информации. Требования в большинстве случаев распространяются также на мобильные приложения, предназначенные для выполнения платежных и других финансовых операций. Кредитные организации и НФО вправе использовать готовые решения или разработать собственную программу под мобильные ОС. Но независимо от «происхождения», ПО должно соответствовать ОУД4.

Требования ОУД4 и ГОСТ 15408 к разработчику при оценке безопасности

Степень доверия AVA_VAN.3, упомянутая в 3-ей части ГОСТа 15408, помогает выявить потенциальные угрозы и риски. Важно доказать отсутствие уязвимостей и не декларированных возможностей для обхода встроенной защиты. Исходя из компонента доверия ADV_ARC.1, понадобится написать текущую функциональную спецификацию, назначение API-функционала, параметров и способов реализации каждого отдельного компонента.

Нужно детально обосновать, связано ли некорректное срабатывание с уязвимостями защиты? Создатель банковского ПО должен описать каждый модуль объекта оценки, обеспечивающий выполнение функции безопасности, согласно ADV_TDS.3. Диаграмма UML-взаимодействия поможет разработчику наглядно представить выполнение протоколов безопасности. Комплект проектной и эксплуатационной документации передается сотрудникам компании-оценщика.

Проведение оценщиком анализа уязвимостей по ОУД4 и ГОСТу 15408

Оценщик сравнивает предоставленную информацию с исходным программным кодом, чтобы подтвердить либо опровергнуть утверждения разработчика. В обязанности независимого аудитора входит идентификация потенциальных уязвимостей программного обеспечения по общедоступным источникам описанных уязвимостей либо иным способом.

При профессиональном анализе уязвимостей ГОСТ 15408 3 и ОУД4 верифицируются выявленные «изъяны» ПО. Если специалисты находят несоответствия информационной безопасности с технической документацией или значительные расхождения с инструкцией, то программный продукт отправляется на доработку. После устранения недостатков проводится повторный анализ уязвимостей по ОУД4.

Заказав у нас работу по анализу уязвимостей, вы получите документацию по тестированию программного обеспечения и подробный технический отчет. Такие экспертизы касаются программ, разработанных под банковские и другие финансовые условия обслуживания клиентов.

Преимущества своевременной ОУД4 сертификации

Организации в финансовом секторе обязаны использовать программное обеспечение, имеющее оценку ОУД4 в соответствие с нормативными документами Центрального Банка по информационной безопасности.

Необходимость лицензии ФСТЭК при ОУД4

Проводить независимую оценку соответствия вправе специализированные компании, получившие официальную лицензию ФСТЭК. Мы обладаем всеми требуемыми лицензиями на проведение анализа уязвимостей программного обеспечения по ОУД4. Наши эксперты, проанализировав разработанную техническую документацию и исходный код программного обеспечения, помогут выявить системные уязвимости и дать рекомендации по их устранению.