Оценка соответствия программного обеспечения по ОУД4
В соответствии с положениями Банка России № 851-П, 808-П, 821-П и 757-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com
или позвонить на +7(495)532-15-02, доб. 365 или 367
или позвонить на +7(495)532-15-02, доб. 365 или 367
Зачем банку проводить оценку соответствия по ОУД4?
Банки должны проводить анализ уязвимостей платежного ПО по уровню ОУД4 с 01.01.2020
По требованиям пункта 4.1 Положения 851-П. Возможна также сертификация ПО в системе сертификации ФСТЭК.
С 01.01.2022 требуется проведение полной оценки соответствия по уровню доверия ОУД4 ГОСТ 15408
По требованиям Положений 821-П и 757-П оценка соответствия проводится для платежного ПО - серверной и клиентской части систем ДБО, карточного процессинга, платежных сервисов
Форма проведения оценки соответствия по ОУД4 Банком России не установлена
Отчет о проведении оценки соответствия по ОУД4 может быть оформлен, например, протоколом испытаний, техническим заключением или сертификатом добровольной системы сертификации
Оценку соответствия платежного ПО должен проводить лицензиат ФСТЭК России на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79
Порядок проведения оценки соответствия по ОУД4
Общий срок проведения оценки соответствия по ОУД4 - от 3 до 6 месяцев
Анализ имеющейся документации к платежному ПО
Пользовательская документация, задание по безопасности, план тестирования, план управления конфигурацией и другие документы по требованиям ГОСТ 15408 предоставляются оценщику
Разработка недостающей документации
По требованиям ГОСТ 15408 должны быть разработаны: задание по безопасности, описание архитектуры безопасности, функциональная спецификация и другие. Полный перечень в нашей статье
Анализ исходных кодов ПО
Проводится статический анализ уязвимостей исходных кодов платежного ПО и динамический анализ (тестирование ПО на проникновение)
Анализ функциональности ПО и выборочное тестирование
В платежном ПО должны выполняться функциональные требования безопасности из задания по безопасности, разработанного на основе профиля защиты от Банка России. Тестирование обычно проводится на демостенде.
Оценка процессов безопасной разработки ПО
На площадке заказчика оценивается защищенность репозитория, фактическое проведение анализа уязвимостей и тестирования функциональности разработчиком, процедуры управления конфигурацией.
Оформление отчета о проведенной оценке
Оценщик проверяет выполнение всех требований доверия ОУД4 и оформляет отчет об оценке в форме протокола испытаний или технического заключения
Результаты оценки соответствия по ОУД4
Документация по ОУД4
Задание по безопасности, описание архитектуры безопасности, функциональная спецификация, описание представления реализации и другие документы.
Техническое заключение о проведении оценки по ОУД4
Содержит сведения о выполнении требований доверия пакета ОУД4, расширений и дополнений из задания по безопасности, свидетельства и выводы
Методика проведения оценки соответствия по ОУД4
ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»
ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности»
ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»
ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»
ГОСТ Р ИСО/МЭК 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»
Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций
Задание по безопасности
Соответствие требованиям
пункта 4.1 851-П, п. 2.4 808-П, п. 1.2 821-П и п. 1.8 757-П
пункта 4.1 851-П, п. 2.4 808-П, п. 1.2 821-П и п. 1.8 757-П
Необходимо проводить оценку соответствия и анализ уязвимостей серверной и клиентской части системы ДБО, карточного процессинга, платежных сервисов
Полезные материалы по ОУД4:
- статья Требования 719-П к оценке соответствия по уровню ОУД4
- статья Анализ уязвимостей платежного программного обеспечения по уровню ОУД4
- презентация по оценке соответствия по уровню ОУД4
- профиль защиты прикладного ПО автоматизированных систем и приложений
- информационное письмо Банка России по применению профиля защиты от 08.07.20 № ИН-014-56/110
Наш опыт и компетенции в оценке соответствия и анализе уязвимостей платежного ПО
Компания БИФИТ проводит анализ уязвимостей платежного ПО более пяти лет
Сотрудники компании прошли обучение методам безопасной разработки и тестированию на проникновение
Анализ уязвимостей платежного ПО мы проводим самостоятельно, без субподряда
Эксперты
- Левин
Алексей ВладимировичРуководитель направления тестирования
на проникновение и анализа уязвимостей - Кривонос
Виталий ПавловичЭксперт направления тестирования
на проникновение и анализа уязвимостей - Поспелов
Илья ДаниловичЭксперт по защите информации
Лицензии ФСБ и ФСТЭК
Закажите оценку соответствия по ОУД4
Мы сделаем для вас расчет стоимости анализа уязвимостей кода по уровню ОУД4:
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
+7 (495) 532-15-02, доб. 365 или 367
legal@bifit.com
Расчет поможет банку в будущем спланировать свой бюджет.