Оценка соответствия программного обеспечения по ОУД4
В соответствии с положениями Банка России № 821-П и 757-П
Нужна бесплатная консультация?
С 09:00 до 19:00 по Московскому времени
Вы можете написать нам на legal@bifit.com или позвонить на +7(495)532-15-02, доб. 365 или 367
Зачем банку проводить оценку соответствия по ОУД4?
1
Банки должны проводить анализ уязвимостей платежного ПО по уровню ОУД4 с 01.01.2020
По требованиям пункта 4.1 Положения 683-П. Возможна также сертификация ПО в системе сертификации ФСТЭК.
2
С 01.01.2022 требуется проведение полной оценки соответствия по уровню доверия ОУД4 ГОСТ 15408
По требованиям Положений 821-П и 757-П оценка соответствия проводится для платежного ПО - серверной и клиентской части систем ДБО, карточного процессинга, платежных сервисов
3
Форма проведения оценки соответствия по ОУД4 Банком России не установлена
Отчет о проведении оценки соответствия по ОУД4 может быть оформлен, например, протоколом испытаний, техническим заключением или сертификатом добровольной системы сертификации
4
Оценку соответствия платежного ПО должен проводить лицензиат ФСТЭК России на ТЗКИ
Лицензия на виды работ, предусмотренных подпунктами «б», «д» или «е» пункта 4 постановления Правительства РФ от 3 февраля 2012 года N 79
Порядок проведения оценки соответствия по ОУД4
Общий срок проведения оценки соответствия по ОУД4 - от 3 до 6 месяцев
1
Анализ имеющейся документации к платежному ПО
Пользовательская документация, задание по безопасности, план тестирования, план управления конфигурацией и другие документы по требованиям ГОСТ 15408 предоставляются оценщику
2
Разработка недостающей документации
По требованиям ГОСТ 15408 должны быть разработаны: задание по безопасности, описание архитектуры безопасности, функциональная спецификация и другие. Полный перечень в нашей статье
3
Анализ исходных кодов ПО
Проводится статический анализ уязвимостей исходных кодов платежного ПО и динамический анализ (тестирование ПО на проникновение)
4
Анализ функциональности ПО и выборочное тестирование
В платежном ПО должны выполняться функциональные требования безопасности из задания по безопасности, разработанного на основе профиля защиты от Банка России. Тестирование обычно проводится на демостенде.
5
Оценка процессов безопасной разработки ПО
На площадке заказчика оценивается защищенность репозитория, фактическое проведение анализа уязвимостей и тестирования функциональности разработчиком, процедуры управления конфигурацией.
6
Оформление отчета о проведенной оценке
Оценщик проверяет выполнение всех требований доверия ОУД4 и оформляет отчет об оценке в форме протокола испытаний или технического заключения
Результаты оценки соответствия по ОУД4
1
Документация по ОУД4
Задание по безопасности, описание архитектуры безопасности, функциональная спецификация, описание представления реализации и другие документы.
2
Техническое заключение о проведении оценки по ОУД4
Содержит сведения о выполнении требований доверия пакета ОУД4, расширений и дополнений из задания по безопасности, свидетельства и выводы
Методика проведения оценки соответствия по ОУД4
1
ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»
2
ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности»
3
ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности»
4
ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»
5
ГОСТ Р ИСО/МЭК 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»
6
Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций
7
Задание по безопасности
Соответствие требованиям пункта 4.1 683-П, п. 1.2 821-П и п. 1.8 757-П
Необходимо проводить оценку соответствия и анализ уязвимостей серверной и клиентской части системы ДБО, карточного процессинга, платежных сервисов
Полезные материалы по ОУД4:
статья Требования 719-П к оценке соответствия по уровню ОУД4
статья Анализ уязвимостей платежного программного обеспечения по уровню ОУД4