Проведение анализа уязвимостей приложений по ОУД4

В соответствии с положениями Банка России № 382-П и 683-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02

Зачем банку проводить анализ уязвимостей по ОУД4?

1
С 01.01.2020 банки должны как минимум ежегодно проводить анализ уязвимостей платежного ПО по уровню ОУД4
по требованиям Положений 382-П, 683-П и 684-П (НФО)
2
С 01.07.2020 Банк России будет применять меры воздействий к банкам, использующим платежное ПО без проведенного анализа уязвимостей
Отсрочка до 01.07.2020 дана Банком России в информационном письме от 31 декабря 2019 г. № ИН-014-56/105
3
Анализ уязвимостей платежного ПО должен проводить лицензиат ФСТЭК России на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79

Порядок проведения анализа уязвимостей

Общий срок проведения анализа уязвимостей по ОУД4 от 2 до 4 месяцев
1
Анализ документации к платежному ПО
Документация предоставляется заказчиком. Включает пользовательскую документацию и документы по требованиям ГОСТ 15408
2
Изучение исходных кодов ПО
Проводится статический и динамический анализ уязвимостей исходных кодов платежного ПО
3
Анализ функциональности
Выполняемые платежным ПО функции должны соответствовать требованиям задания по безопасности, разработанного на основе профиля защиты от Банка России

Результаты анализа уязвимостей

1
Краткое техническое заключение
Содержит описание объекта оценки, этапы проведенного анализа и выводы
2
Протокол анализа уязвимостей
Содержит перечень выявленных уязвимостей и выводы о невозможности их проэксплуатировать

Методики проведения анализа уязвимостей ПО

1
ГОСТ Р ИСО/МЭК 15408-3-2013
2
ГОСТ Р ИСО/МЭК 18045
3
Профиль защиты от Банка России
4
Задание по безопасности
Соответствие требованиям
пункта 14.1 382-П и пункта 4.1 683-П
Необходимо проводить анализ уязвимостей серверной части системы ДБО, мобильного банкинга, серверной и клиентской части иного платежного ПО

Полезные материалы по ОУД4:

  • статья Анализ уязвимостей платежного программного обеспечения по уровню ОУД4
  • презентация по анализу уязвимостей системы ДБО по уровню ОУД4
  • профиль защиты прикладного ПО автоматизированных систем и приложений
  • информационное письмо Банка России по применению профиля защиты от 08.07.20 № ИН-014-56/110

Наш опыт и компетенции в анализе уязвимостей платежного ПО

Компания БИФИТ проводит анализ уязвимостей платежного ПО более пяти лет
Сотрудники компании прошли обучение методам безопасной разработки и тестированию на проникновение
Анализ уязвимостей платежного ПО мы проводим самостоятельно, без субподряда
Эксперты
  • Левин
    Алексей Владимирович
    Руководитель направления тестирования
    на проникновение и анализа уязвимостей
  • Кривонос
    Виталий Павлович
    Эксперт направления тестирования
    на проникновение и анализа уязвимостей
  • Поспелов
    Артур Александрович
    Эксперт направления тестирования
    на проникновение и анализа уязвимостей

Лицензии ФСБ и ФСТЭК

Закажите анализ кода на уязвимости
Мы сделаем для вас расчет стоимости анализа уязвимостей кода по уровню ОУД4:
+7 (495) 532-15-02
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.