Проведение анализа уязвимостей приложений по ОУД4
В соответствии с положениями Банка России № 382-П и 683-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02, доб. 365 или 367
или позвонить на +7(495)532-15-02, доб. 365 или 367
Зачем банку проводить анализ уязвимостей по ОУД4?
1
С 01.01.2020 банки должны как минимум ежегодно проводить анализ уязвимостей платежного ПО по уровню ОУД4
по требованиям Положений 382-П, 683-П и 684-П (НФО)
2
С 01.07.2020 Банк России будет применять меры воздействий к банкам, использующим платежное ПО без проведенного анализа уязвимостей
Отсрочка до 01.07.2020 дана Банком России в информационном письме от 31 декабря 2019 г. № ИН-014-56/105
3
Анализ уязвимостей платежного ПО должен проводить лицензиат ФСТЭК России на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79
Порядок проведения анализа уязвимостей
Общий срок проведения анализа уязвимостей по ОУД4 от 2 до 4 месяцев
1
Анализ документации к платежному ПО
Документация предоставляется заказчиком. Включает пользовательскую документацию и документы по требованиям ГОСТ 15408
2
Изучение исходных кодов ПО
Проводится статический и динамический анализ уязвимостей исходных кодов платежного ПО
3
Анализ функциональности
Выполняемые платежным ПО функции должны соответствовать требованиям задания по безопасности, разработанного на основе профиля защиты от Банка России
Результаты анализа уязвимостей
1
Краткое техническое заключение
Содержит описание объекта оценки, этапы проведенного анализа и выводы
2
Протокол анализа уязвимостей
Содержит перечень выявленных уязвимостей и выводы о невозможности их проэксплуатировать
Методики проведения анализа уязвимостей ПО
1
ГОСТ Р ИСО/МЭК 15408-3-2013
2
ГОСТ Р ИСО/МЭК 18045
3
Профиль защиты от Банка России
4
Задание по безопасности
Соответствие требованиям
пункта 14.1 382-П и пункта 4.1 683-П
пункта 14.1 382-П и пункта 4.1 683-П
Необходимо проводить анализ уязвимостей серверной части системы ДБО, мобильного банкинга, серверной и клиентской части иного платежного ПО
Полезные материалы по ОУД4:
- статья Анализ уязвимостей платежного программного обеспечения по уровню ОУД4
- презентация по анализу уязвимостей системы ДБО по уровню ОУД4
- профиль защиты прикладного ПО автоматизированных систем и приложений
- информационное письмо Банка России по применению профиля защиты от 08.07.20 № ИН-014-56/110
Наш опыт и компетенции в анализе уязвимостей платежного ПО
Компания БИФИТ проводит анализ уязвимостей платежного ПО более пяти лет
Сотрудники компании прошли обучение методам безопасной разработки и тестированию на проникновение
Анализ уязвимостей платежного ПО мы проводим самостоятельно, без субподряда
Эксперты
- Левин
Алексей ВладимировичРуководитель направления тестирования
на проникновение и анализа уязвимостей - Кривонос
Виталий ПавловичЭксперт направления тестирования
на проникновение и анализа уязвимостей - Поспелов
Артур АлександровичЭксперт направления тестирования
на проникновение и анализа уязвимостей
Лицензии ФСБ и ФСТЭК
Закажите анализ кода на уязвимости
Мы сделаем для вас расчет стоимости анализа уязвимостей кода по уровню ОУД4:
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.