Оценка и анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3
Центральный Банк регулярно издает ведомственные подзаконные акты, которые регламентируют мероприятия по информационной безопасности (ИБ) кредитных и некредитных финансовых организаций. Указания направлены на предупреждение киберпреступлений, связанных с несанкционированным доступом к конфиденциальной клиентской информации, пресечением попыток взлома и проникновением в систему.
Заказать услуги по оценке и анализу уязвимостей по ОУД4Обзор требований ЦБ по анализу уязвимостей ПО (ОУД4 и ГОСТ 15408-3)
Планировалось, что требования, содержащиеся в ОУД4 ГОСТ 15408-3-2013 и ГОСТ Р 57580, а также такие положения: 382-П, 683-П и 684-П, вступили в законную силу с 01.01.2020. Однако, Центробанк принял во внимание необходимость дополнительного времени для внедрения рекомендованных защитных мер по устранению рисков и отложил применение санкций за невыполнение требования по исследованию прикладного ПО по ОУД4, ГОСТ 15408-3-2013, продлив подготовительный период до 1.07.2020 для Банков в рамках выполнения требований 683-П. Отдельные положения нормативно-правовых актов станут обязательными для исполнения с января 2021, 2022 и 2023 годов. ЦБ периодически анализирует полученные отчеты независимых аудиторов по наличию уязвимостей прикладного ПО коммерческих банков и НФО. Цель тщательной проверки – оценивание результатов исследований на предмет соответствия ГОСТ 15408-3-2013 и ОУД4.
Согласно определению, ОУД4 – это оценочный уровень доверия, под которым подразумеваются мероприятия по выявлению/устранению ошибок и системных брешей. Разработчику потребуется вначале зафиксировать регламент проверок во внутренней документации, описать функции работы средств защиты информации. Можно заказать анализ уязвимостей, учитывая соответствие четвертому оценочному уровню доверия. Требования распространяются также на мобильные приложения, предназначенные для выполнения платежных и других финансовых операций. Кредитные учреждения и НФО вправе использовать готовые решения или разработать собственную программу под мобильные ОС. Но независимо от «происхождения», ПО должно соответствовать ОУД4
Требования ОУД4 и ГОСТ 15408 к разработчику при оценке безопасности
Степень доверия AVA_VAN.3, упомянутая в 3-ей части ГОСТа 15408, помогает выявить потенциальные угрозы и риски. Важно доказать отсутствие уязвимостей и брешей для обхода встроенной защиты. Исходя из компонента доверия ADV_ARC.1, понадобится написать текущую функциональную спецификацию, назначение API-функционала, параметров и способов реализации каждого отдельного компонента.
Нужно детально обосновать, связано ли некорректное срабатывание с брешами безопасности? Создатель банковского ПО должен описать каждый модуль объекта оценки, обеспечивающий выполнение функции безопасности, согласно ADV_TDS.3. Диаграмма UML-взаимодействия поможет разработчику наглядно представить выполнение протоколов безопасности. Комплект проектной и эксплуатационной документации передается сотрудникам компании-оценщика.
Проведение оценщиком анализа уязвимостей по ОУД4 и ГОСТу 15408
Оценщик сравнивает предоставленную информацию с исходным программным кодом, чтобы подтвердить либо опровергнуть утверждения разработчика. В обязанности независимого аудитора входит идентификация потенциальных уязвимостей програмного обеспечения по общедоступным источникам описанных уязвимостей либо иным способом.
При профессиональном анализе уязвимостей ГОСТ 15408 3 и ОУД4 верифицируются выявленные «изъяны» ПО. Если специалисты находят несоответствия информационной безопасности (ИБ) с технической документацией или значительные расхождения с инструкцией, то программный продукт отправляется на доработку. После устранения недостатков проводится повторный анализ уязвимостей по ОУД4.
Заказав у нас работу по анализу уязвимости, вы получите документацию по тестированию программного обеспечения и подробный технический отчет. Такие экспертизы касаются программ, разработанных под банковские и другие финансовые условия обслуживания клиентов.
Преимущества своевременной ОУД4 сертификации
Разработчик программных продуктов, банк или некредитная финорганизация обязаны привести программное обеспечение в соответствие с нормативными документами Центрального Банка по информационной безопасности до 1.07.2020 года. Формально регулятор обязал приступить к внедрению механизмов защиты конфиденциальных сведений с января 2020 года, но санкции будут применяться с июля месяца, но лишь в рамках 683-П. В этом контексте термин ОУД4 приобретает особое значение для организаций, занимающихся финансовой деятельностью. Соблюдение требований регулятора и применение ГОСТ 15408 для своевременного исследования прикладного ПО на ОУД4 сохранит бюджет кредитных учреждений и НФО и избавит от применения в отношении проверяемой организации санкций ЦБ.
Необходимость лицензии ФСТЭК при ОУД4
Проводить независимую оценку соответствия вправе специализированные компании, получившие официальную лицензию ФСТЭК. Мы обладаем всеми требуемыми лицензиями на проведение анализа уязвимостей программного обеспечения по ОУД4. Наши эксперты, проанализировав разработанную техническую документацию и исходный код программного софта, помогут выявить системные уязвимости и дать рекомендации по их устранению.
Боев Андрей Валерьевич
Аналитик по безопасности программного обеспечения
Профессиональный опыт в сфере информационной безопасности с 2009 года
Курихин Андрей Валерьевич
Технический писатель
Профессиональный опыт в сфере информационных технологий с 2009 года
Какое ПО должно проходить оценку соответствия по ОУД4?
В настоящее время в Положениях ЦБ РФ есть требование по проведению ОУД 4 в отношении ПО систем и приложений, связанных с осуществлением переводов денежных средств через сеть Интернет, а также ПО, распространяемого клиентам и связанных с осуществлением переводов денежных средств (например, мобильные банковские приложения). Кроме этого, организации могут проводить аналогичные работы в отношении прикладного ПО автоматизированных систем, используемого в работе на основе решения руководства.
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по оценке и анализу уязвимостей по ОУД4
Услуга | Стоимость |
---|---|
Консультация |
бесплатно |
Анализ уязвимостей по ОУД4Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013 |
от 315000 руб. |
Оценка соответствия по ОУД4Оценка соответствия программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013 |
по запросу |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
ГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееОценка соответствия по 757-П (684-П)
Оценка уровня информационной безопасности предприятия и организации (НФО) по 757-П (684-П)
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
ПодробнееОценка соответствия по 382-П
Положение Банка России № 382-П: требования, аудит и оценка соответствия
Подробнее