Проведение анализа уязвимостей приложений по ОУД4
В соответствии с положениями Банка России № 382-П и 683-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02, доб. 365 или 367
или позвонить на +7(495)532-15-02, доб. 365 или 367
Зачем банку проводить анализ уязвимостей по ОУД4?
С 01.01.2020 банки должны как минимум ежегодно проводить анализ уязвимостей платежного ПО по уровню ОУД4
по требованиям Положений 382-П, 683-П и 684-П (НФО)
С 01.07.2020 Банк России будет применять меры воздействий к банкам, использующим платежное ПО без проведенного анализа уязвимостей
Отсрочка до 01.07.2020 дана Банком России в информационном письме от 31 декабря 2019 г. № ИН-014-56/105
Анализ уязвимостей платежного ПО должен проводить лицензиат ФСТЭК России на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79
Порядок проведения анализа уязвимостей
Общий срок проведения анализа уязвимостей по ОУД4 от 2 до 4 месяцев
Анализ документации к платежному ПО
Документация предоставляется заказчиком. Включает пользовательскую документацию и документы по требованиям ГОСТ 15408
Изучение исходных кодов ПО
Проводится статический и динамический анализ уязвимостей исходных кодов платежного ПО
Анализ функциональности
Выполняемые платежным ПО функции должны соответствовать требованиям задания по безопасности, разработанного на основе профиля защиты от Банка России
Результаты анализа уязвимостей
Краткое техническое заключение
Содержит описание объекта оценки, этапы проведенного анализа и выводы
Протокол анализа уязвимостей
Содержит перечень выявленных уязвимостей и выводы о невозможности их проэксплуатировать
Методики проведения анализа уязвимостей ПО
ГОСТ Р ИСО/МЭК 15408-3-2013
ГОСТ Р ИСО/МЭК 18045
Профиль защиты от Банка России
Задание по безопасности
Соответствие требованиям
пункта 14.1 382-П и пункта 4.1 683-П
пункта 14.1 382-П и пункта 4.1 683-П
Необходимо проводить анализ уязвимостей серверной части системы ДБО, мобильного банкинга, серверной и клиентской части иного платежного ПО
Полезные материалы по ОУД4:
- статья Анализ уязвимостей платежного программного обеспечения по уровню ОУД4
- презентация по анализу уязвимостей системы ДБО по уровню ОУД4
- профиль защиты прикладного ПО автоматизированных систем и приложений
- информационное письмо Банка России по применению профиля защиты от 08.07.20 № ИН-014-56/110
Наш опыт и компетенции в анализе уязвимостей платежного ПО
Компания БИФИТ проводит анализ уязвимостей платежного ПО более пяти лет
Сотрудники компании прошли обучение методам безопасной разработки и тестированию на проникновение
Анализ уязвимостей платежного ПО мы проводим самостоятельно, без субподряда
Эксперты
- Левин
Алексей ВладимировичРуководитель направления тестирования
на проникновение и анализа уязвимостей - Кривонос
Виталий ПавловичЭксперт направления тестирования
на проникновение и анализа уязвимостей - Поспелов
Артур АлександровичЭксперт направления тестирования
на проникновение и анализа уязвимостей
Лицензии ФСБ и ФСТЭК
Закажите анализ кода на уязвимости
Мы сделаем для вас расчет стоимости анализа уязвимостей кода по уровню ОУД4:
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.