Научные работы

Анализ уязвимостей программного обеспечения по требованиям Банка России (ГОСТ 15408)

Наша организация проводит анализ программного обеспечения с целью установить наличие или отсутствие в нем существующих и потенциальных уязвимостей.

Нормативные документы Банка России обязывают финансовые организации проводить анализ уязвимостей прикладного ПО, которое используется в платежных и иных финансовых операциях. Перечень нормативных документов Банка России содержащие данные требования:

  • положение Банка России от 9 июня 2012 г. № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств";
  • положение Банка России от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента";
  • положение Банка России от 17 апреля 2019 г. № 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

Для выполнения данных требований положения Банка России позволяют финансовым организациям выбрать один из двух вариантов:

  • сертификация в системе ФСТЭК;
  • проведение анализа по требованиям к оценочному уровню доверия (не ниже ОУД-4).

Проведение сертификации в системе ФСТЭК не целесообразно в связи с более жесткими требованиями к ПО, что увеличивает сроки и стоимость работ. Альтернативой является проведение анализа уязвимостей в соответствии с ГОСТ 15408-3 (требования к нему для ОУД4 определены в компоненте доверия AVA_VAN.3).

Анализ включает следующие работы:

  • изучить по открытым источникам, есть ли в компонентах ПО известные уязвимости;
  • изучить документацию на программный продукт и его исходный код и на их основе идентифицировать потенциальные уязвимости;
  • для выявленных уязвимостей убедиться, что ими невозможно воспользоваться путем тестирования проникновения.

Результатом работы является протокол анализа уязвимостей от испытательной лаборатории аккредитованной в системе сертификации ФСТЭК России.



Главная страница

Услуги

Сертификация средств защиты информации

Сертификация ПО в рамках Системы сертификации "РОСИНТЕХСЕРТ"

Применение стандарта ГОСТ Р ИСО/МЭК 15408 ("Общие критерии")

Аудит защиты информации в автоматизированных системах

Защита персональных данных

Защита информации в платежных системах

Разработка ПО

Оценка стоимости разработки и сопровождения программных средств

Тестирование и контроль качества ПО

Анализ уязвимостей программного обеспечения по требованиям Банка России


Контактная информация