Оценка соответствия программного обеспечения по ОУД4

В соответствии с положениями Банка России № 821-П и 757-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02

Зачем банку проводить оценку соответствия по ОУД4?

1
Банки должны проводить анализ уязвимостей платежного ПО по уровню ОУД4 с 01.01.2020
По требованиям пункта 4.1 Положения 683-П. Возможна также сертификация ПО в системе сертификации ФСТЭК.
2
С 01.01.2022 требуется проведение полной оценки соответствия по уровню доверия ОУД4 ГОСТ 15408
По требованиям Положений 821-П и 757-П оценка соответствия проводится для платежного ПО - серверной и клиентской части систем ДБО, карточного процессинга, платежных сервисов
3
Форма проведения оценки соответствия по ОУД4 Банком России не установлена
Отчет о проведении оценки соответствия по ОУД4 может быть оформлен, например, протоколом испытаний, техническим заключением или сертификатом добровольной системы сертификации
4
Оценку соответствия платежного ПО должен проводить лицензиат ФСТЭК России на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79

Порядок проведения оценки соответствия по ОУД4

Общий срок проведения оценки соответствия по ОУД4 - от 3 до 6 месяцев
1
Анализ имеющейся документации к платежному ПО
Пользовательская документация, задание по безопасности, план тестирования, план управления конфигурацией и другие документы по требованиям ГОСТ 15408 предоставляются оценщику
2
Разработка недостающей документации
По требованиям ГОСТ 15408 должны быть разработаны: задание по безопасности, описание архитектуры безопасности, функциональная спецификация и другие. Полный перечень в нашей статье
3
Анализ исходных кодов ПО
Проводится статический анализ уязвимостей исходных кодов платежного ПО и динамический анализ (тестирование ПО на проникновение)
4
Анализ функциональности ПО и выборочное тестирование
В платежном ПО должны выполняться функциональные требования безопасности из задания по безопасности, разработанного на основе профиля защиты от Банка России. Тестирование обычно проводится на демостенде.
5
Оценка процессов безопасной разработки ПО
На площадке заказчика оценивается защищенность репозитория, фактическое проведение анализа уязвимостей и тестирования функциональности разработчиком, процедуры управления конфигурацией.
6
Оформление отчета о проведенной оценке
Оценщик проверяет выполнение всех требований доверия ОУД4 и оформляет отчет об оценке в форме протокола испытаний или технического заключения

Результаты оценки соответствия по ОУД4

1
Документация по ОУД4
Задание по безопасности, описание архитектуры безопасности, функциональная спецификация, описание представления реализации и другие документы.
2
Техническое заключение о проведении оценки по ОУД4
Содержит сведения о выполнении требований доверия пакета ОУД4, расширений и дополнений из задания по безопасности, свидетельства и выводы

Методика проведения оценки соответствия по ОУД4

1
ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»
2
ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности»
3
ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»
4
ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»
5
ГОСТ Р ИСО/МЭК 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»
6
Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций
7
Задание по безопасности
Соответствие требованиям
пункта 4.1 683-П, п. 1.2 821-П и п. 1.8 757-П
Необходимо проводить оценку соответствия и анализ уязвимостей серверной и клиентской части системы ДБО, карточного процессинга, платежных сервисов

Полезные материалы по ОУД4:

  • статья Требования 719-П к оценке соответствия по уровню ОУД4
  • статья Анализ уязвимостей платежного программного обеспечения по уровню ОУД4
  • презентация по оценке соответствия по уровню ОУД4
  • профиль защиты прикладного ПО автоматизированных систем и приложений
  • информационное письмо Банка России по применению профиля защиты от 08.07.20 № ИН-014-56/110

Наш опыт и компетенции в оценке соответствия и анализе уязвимостей платежного ПО

Компания БИФИТ проводит анализ уязвимостей платежного ПО более пяти лет
Сотрудники компании прошли обучение методам безопасной разработки и тестированию на проникновение
Анализ уязвимостей платежного ПО мы проводим самостоятельно, без субподряда
Эксперты
  • Левин
    Алексей Владимирович
    Руководитель направления тестирования
    на проникновение и анализа уязвимостей
  • Кривонос
    Виталий Павлович
    Эксперт направления тестирования
    на проникновение и анализа уязвимостей
  • Поспелов
    Илья Данилович
    Эксперт по защите информации

Лицензии ФСБ и ФСТЭК

Закажите оценку соответствия по ОУД4
Мы сделаем для вас расчет стоимости анализа уязвимостей кода по уровню ОУД4:
+7 (495) 532-15-02
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.