Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

ОУД4 и ГОСТ 15408-3

Центральный Банк регулярно издает ведомственные подзаконные акты, которые регламентируют мероприятия по информационной безопасности (ИБ) кредитных и некредитных финансовых организаций. Указания направлены на предупреждение киберпреступлений, связанных с несанкционированным доступом к конфиденциальной клиентской информации, пресечением попыток взлома и проникновением в систему.

Обзор требований ЦБ по анализу уязвимостей ПО (ОУД4 и ГОСТ 15408-3)

Планировалось, что требования, содержащиеся в ОУД4 ГОСТ 15408-3-2013 и Р 57580, а также такие положения: 382-П, 683-П и 684-П, вступили в законную силу с 01.01.2020. Однако, Центробанк принял во внимание необходимость дополнительного времени для внедрения рекомендованных защитных мер по устранению рисков и отложил применение санкций за невыполнение требования по исследованию прикладного ПО по ОУД.4, ГОСТ 15408-3-2013, продлив подготовительный период до 1.07.2020 для Банков в рамках выполнения требований 683-П. Отдельные положения нормативно-правовых актов станут обязательными для исполнения с января 2021, 2022 и 2023 годов. ЦБ периодически анализирует полученные отчеты независимых аудиторов по наличию уязвимостей прикладного ПО коммерческих банков и НФО. Цель тщательной проверки – оценивание результатов исследований на предмет соответствия ГОСТ 15408-3-2013 и ОУД4.

Согласно определению, ОУД4 – это оценочный уровень доверия, под которым подразумеваются мероприятия по выявлению/устранению ошибок и системных брешей. Разработчику потребуется вначале зафиксировать регламент проверок во внутренней документации, описать функции работы средств защиты информации. Можно заказать анализ уязвимостей, учитывая соответствие четвертому оценочному уровню доверия. Требования распространяются также на мобильные приложения, предназначенные для выполнения платежных и других финансовых операций. Кредитные учреждения и НФО вправе использовать готовые решения или разработать собственную программу под мобильные ОС. Но независимо от «происхождения», ПО должно соответствовать ОУД.4

Требования ОУД 4 и ГОСТ 15408 к разработчику при оценке безопасности

Степень доверия AVA_VAN.3, упомянутая в 3-ей части ГОСТа 15408, помогает выявить потенциальные угрозы и риски. Важно доказать отсутствие уязвимостей и брешей для обхода встроенной защиты. Исходя из компонента доверия ADV_ARC.1, понадобится написать текущую функциональную спецификацию, назначение API-функционала, параметров и способов реализации каждого отдельного компонента.

Нужно детально обосновать, связано ли некорректное срабатывание с брешами безопасности? Создатель банковского ПО должен описать каждый модуль объекта оценки, обеспечивающий выполнение функции безопасности, согласно ADV_TDS.3. Диаграмма UML-взаимодействия поможет разработчику наглядно представить выполнение протоколов безопасности. Комплект проектной и эксплуатационной документации передается сотрудникам компании-оценщика.

Проведение оценщиком анализа уязвимостей по ОУД4 и ГОСТу 15408

Оценщик сравнивает предоставленную информацию с исходным программным кодом, чтобы подтвердить либо опровергнуть утверждения разработчика. В обязанности независимого аудитора входит идентификация потенциальных уязвимостей ОУД по общедоступным источникам описанных уязвимостей либо иным способом.

При профессиональном анализе уязвимостей ГОСТ 15408 3 и ОУД4 верифицируются выявленные «изъяны» ПО. Если специалисты находят несоответствия ИБ с технической документацией или значительные расхождения с инструкцией, то программный продукт отправляется на доработку. После устранения недостатков проводится повторный анализ уязвимостей по ОУД4.

Заказав у нас работу по анализу уязвимости, вы получите документацию по тестированию программного обеспечения и подробный технический отчет. Такие экспертизы касаются программ, разработанных под банковские и другие финансовые условия обслуживания клиентов.

Преимущества своевременной ОУД4 сертификации

Разработчик программных продуктов, банк или некредитная финорганизация обязаны привести ПО в соответствие с нормативными документами Центрального Банка по ИБ до 1.07.2020 года. Формально регулятор обязал приступить к внедрению механизмов защиты конфиденциальных сведений с января 2020 года, но санкции будут применяться с июля месяца, но лишь в рамках 683-П. В этом контексте термин ОУД4 приобретает особое значение для организаций, занимающихся финансовой деятельностью. Соблюдение требований регулятора и применение ГОСТ 15408 для своевременного исследования прикладного ПО на ОУД.4 сохранит бюджет кредитных учреждений и НФО и избавит от применения в отношении проверяемой организации санкций ЦБ.

Необходимость лицензии ФСТЭК при ОУД4

Проводить независимую оценку соответствия вправе специализированные компании, получившие официальную лицензию ФСТЭК. Мы обладаем всеми требуемыми лицензиями на проведение анализа уязвимостей программного обеспечения по ОУД4. Наши эксперты, проанализировав разработанную техническую документацию и исходный код программного софта, помогут выявить системные уязвимости и дать рекомендации по их устранению.

Наши преимущества

Стоимость

Услуга Стоимость
Консультация

бесплатно

Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013 (от 6 недель)

от 315000 руб.

Свяжитесь с нами

Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

ГОСТ Р 57580

Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

Подробнее

Оценка уровня информационной безопасности по 684-П

Оценка уровня информационной безопасности предприятия и организации по 684-П

Подробнее

Аудит по 683-П

Аудит по 683-П положения Банка России

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее

Положение Банка России 382-П

Положение Банка России № 382-П: требования, аудит и оценка соответствия

Подробнее