Как выполнить требования Банка России по ОУД4 для прикладного ПО?

Какие требования к безопасности прикладного ПО есть у Банка России?

Большинство разработчиков прикладного ПО финансовых организаций предлагают выполнить требования Банка России за счет проведения оценки прикладного ПО по требованиям ОУД4.
В настоящее время действуют несколько Положений Банка России, по которым для используемого финансовыми организациями прикладного программного обеспечения требуется:
  • или сертификация в системе сертификации ФСТЭК;
  • или оценка по оценочному уровню доверия 4 ГОСТ Р ИСО/МЭК 15408-3-2013 (далее – ОУД4).

Требования к кредитным организациям содержатся в пункте 4.1. Положения Банка России от 17.04.2019 № 683-П и пункте 1.2 Положения Банка России от 17.08.2024 № 821-П.

Аналогичные требования содержатся в пункте 1.8 Положения Банка России от 20.04.2021 № 757-П для некредитных финансовых организаций, пункте 2.4 Положения Банка России от 17.10.2022 № 808-П для бюро кредитных историй и пункте 7 Положения Банка России от 20.04.2021 № 822-П для страховых компаний.

Требования использовать сертифицированное во ФСТЭК или прошедшее оценку по ОУД4 прикладное ПО также содержит мера защиты информации ЖЦ.8 из ГОСТ Р 57580.1-2017.

Нам не известны случаи сертификации прикладного ПО финансовых организаций во ФСТЭК. Большинство разработчиков прикладного ПО финансовых организаций предлагают выполнить требования Банка России за счет проведения оценки прикладного ПО по требованиям ОУД4.

Нужно учитывать, что для оценки по уровню ОУД4 нужно иметь доступ к исходным кодам ПО, процессу разработки, сборки, тестирования и оцениваемого ПО.

С какой периодичностью нужно проводить оценки по ОУД4?

Требования к периодичности оценки по ОУД4 прикладного ПО в Положениях Банка России не установлены.

Известны случаи, когда проверяющие из Банка России требовали подтверждения проведения оценки по ОУД4 для каждой новой версии прикладного ПО.

Это кажется излишним, т.к. требования ГОСТ 15408 относятся к безопасности. Если механизмы безопасности в новых версиях ПО не изменяются, то новую оценку по ОУД4 проводить нецелесообразно.

Наиболее оптимальной видится периодичность оценки по ОУД4 ежегодно или чаще, если изменились механизмы безопасности ПО. При условии, что новые версии ПО выходят чаще, чем один раз в год.

К какому программному обеспечению Банк России предъявляет требования к оценке по уровню ОУД4?

В положениях Банка России перечислено прикладное ПО, на которое распространяются требования к оценке по ОУД4:
  • Прикладное ПО, которое распространяется клиентам кредитных и некредитных финансовых организаций, субъектам кредитных историй, пользователям АИС страхования для совершения обмена информацией. Речь идет о платежных веб-приложениях, личных кабинетах клиента, приложениях онлайн-банкинга, мобильных приложениях и т.п.
  • Программное обеспечение, устанавливаемое на стороне финансовой организации (далее – ФО), которое предназначено для приема электронных сообщений от клиентов через интернет. Например, серверная часть системы ДБО, карточного процессинга, платежного шлюза, АИС страхования и т.п.

Требования к проверяющей организации для оценки по ОУД4.

Во всех Положениях Банка России установлено следующее правило: если принято решение провести оценку прикладного ПО по ОУД4 (а не сертификацию), то такая оценка проводится ФО самостоятельно или с привлечением проверяющей организации.

Если привлекается проверяющая организация, то она должна иметь лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации, предусмотренной подпунктами "б", "д" или "е" Положения о лицензировании.

Дополнительные требования к проверяющей организации в Положениях Банка России не предусмотрены. Но стоит учитывать, что проверяющие должны обладать необходимой компетенцией. Разработчик ПО может отказаться предоставить исходные коды своего ПО и доступ к процессу разработки лицензиату ФСТЭК, если сомневается в наличии у его сотрудников необходимых компетенций.

Какие варианты выполнения требований Банка России к прикладному ПО есть у финансовых организаций?

1. При использовании ПО собственной разработки у ФО есть доступ к исходным кодам ПО, процессу разработки и тестовой версии ПО. Если позволяют ресурсы, можно проводить оценку по ОУД ежегодно или чаще при изменении механизмов безопасности ПО.

Возможно также внедрение процесса безопасной разработки ПО в соответствии с разделом 7.4. Профиля защиты от ЦБ. Но при этом нужно учесть особенности:
  • в ПО должны быть выполнены все функциональные требования безопасности;
  • разработанное ПО не должно использоваться в значимых объектах КИИ;
  • инфраструктура разработчика должна соответствовать требованиям ГОСТ Р 57580.1-2017;
  • разработчик должен иметь документированный процесс управления версиями и изменениями ПО

Такие требования могут быть выполнены крупными финансовыми организациями со зрелыми процессами разработки и намерением внедрить процессы безопасной разработки. Но трудозатраты принесут ощутимую выгоду - при внедренном и подтвержденном проверяющей организацией процессе безопасной разработки все выпущенные версии ПО будут считаться прошедшими оценку по ОУД4.
2. Если используется ПО от стороннего разработчика:

a) При использовании облачной версии ПО подойдут результаты оценки по ОУД ПО, развернутого в облаке. При условии, что разработчик ПО провел такую оценку и используемая версия соответствует оцененной.
Кастомные версии ПО разработчики обычно по своей инициативе не оценивают.
b) Если используется on-prem-решение, то вариант выполнения требований зависит от того, используется стандартная или кастомная (нестандартная) ПО, а также от состава модулей и среды исполнения.

  • Кастомные версии ПО разработчики обычно по своей инициативе не оценивают. Потребуется проведение работ по оценке экземпляра ПО, развернутого в финансовой организации, по уровню ОУД4 самостоятельно или с привлечением проверяющей организации (испытательной лаборатории). При этом должен быть организован доступ проверяющей организации к исходным кодам ПО, процессу разработки, тестовому стенду. Об этом нужно предварительно договориться с разработчиком ПО. Выбор этого варианта выполнения требований рекомендуется при использовании ФО кастомной версии ПО в любых средах функционирования и с любыми настройками системы.
Разработчик может провести оценку ПО в минимальной конфигурации, нескольких распространенных средах исполнения и с использованием настроек безопасности "по умолчанию".
  • Стандартные версии разработчик может периодически оценивать по своей инициативе. Здесь важно понимать, подходит ли такая оценка финансовой организации, устроит ли она поверяющих? Разработчик может провести оценку ПО в минимальной конфигурации, нескольких распространенных средах исполнения и с использованием настроек безопасности "по умолчанию". Успешное выполнение многих функциональных требований безопасности из задания по безопасности зависит как от конкретных настроек ПО, установленных финансовой организацией, так и от среды функционирования ПО в банке (ОС, СУБД) и её настроек.

Для того, чтобы понять, подходит ли ФО проведенная разработчиком оценка по ОУД4, нужно задать себе следующие вопросы:
  • Оценил ли разработчик нужную версию ПО с используемым финансовой организацией составом модулей?
  • Есть ли среди возможных сред исполнения ПО та, которая используется в ФО?

Если все ответы «да», то можно использовать заключение по ОУД на стандартную версию ПО. Выбор такого варианта обычно подходит небольшим организациям с минимальным набором модулей ПО, которые используют версии ПО и среду функционирования оцененной стандартной версии. Если проверяющие запросят для изучения техническое заключение о проведении оценки соответствия программного обеспечения по уровню ОУД4, то финансовой организации нужно договориться с разработчиком об условиях получения копии такого заключения.

Если хотя бы один ответ на вопросы - «нет», тогда нужно договориться с разработчиком об оценке используемого ФО экземпляра программного обеспечения по уровню ОУД4 в конкретной среде исполнения, с конкретными настройками и составом модулей. Такую оценку ФО может провести самостоятельно или с привлечением лицензиата ФСТЭК, если разработчик предоставит доступ к исходным кодам своего ПО и предоставит информацию о процессах разработки. Финансовой организации рекомендуется предусмотреть в бюджете на ИБ или ИТ проведение такой оценки ежегодно.
Оценил ли разработчик нужную версию ПО с используемым финансовой организацией составом модулей?
Есть ли среди возможных сред исполнения ПО та, которая используется в ФО?

Алгоритм выполнения требований Банка России к безопасности прикладного ПО

Финансовая организация самостоятельно выбирает вариант выполнения требований, исходя из оценки своих рисков
1. Нужно выяснить, попадает ли ПО под требования из Положений Банка России?
  • Если не попадает, оценка по ОУД4 может производится по инициативе финансовой организации при наличии желания, бюджета и компетенций.
  • Если попадает, то дальнейшие шаги зависят от того, кто является разработчиком.
2. Является ли финансовая организация разработчиком ПО?
  • Если да, то ей нужно самостоятельно провести оценку разработанного ПО по уровню ОУД4 самостоятельно или с привлечением проверяющей организации. В любом случае потребуются бюджет, компетенции и время. При частом выпуске новых версий ПО нужно оценить трудозатраты и выгоды от внедрения процессов безопасной разработки в соответствии с разделом 7.4. Профиля защиты от ЦБ с учетом ограничений.
  • Если используется ПО от стороннего разработчика, определяем тип развертывания ПО в инфраструктуре.
3. Используется ли облачное решение?
  • Если да, нужно запросить у разработчика результаты оценки по ОУД4 той версии ПО, которая используется в "облаке".
  • Если нет, значит используется on-prem ПО, развернутое в инфраструктуре финансовой организации. Дальнейшие действия зависят от того, является ли версия ПО стандартной.
4. Используется стандартное или кастомное ПО?
  • Если используется кастомное (нестандартное) ПО, то финансовой организации необходимо провести оценку самостоятельно или с привлечением проверяющих. Это возможно при согласии разработчика предоставить финансовой организации или проверяющим доступ к исходным кодам ПО и процессу разработки.
  • Если используется стандартная версия ПО, нужно запросить у разработчика ПО , проводилась ли оценка стандартной версии по ОУД4 и определить, подходит ли она финансовой организации.
5. Оценка по ОУД4 проведена для той версии ПО и с тем составом модулей, которые используются ФО? Есть ли среди возможных сред исполнения ПО та, которая используется в ФО?
  • Если ответы "да", то проверяющим может быть достаточно информации о проведенной оценке. В случае получения требований от проверяющих предоставить техническое заключение об оценке, необходимо узнать у разработчика ПО условия получения копии технического заключения
  • Если хотя бы один ответ "нет", то ФО нужно провести оценку по ОУД4 собственного экземпляра ПО самостоятельно или с привлечением проверяющей организации. Это возможно при согласии разработчика ПО предоставить ФО или проверяющей организации доступ к исходным кодам ПО и процессу разработки.
Отмечаем, что финансовая организация самостоятельно выбирает вариант выполнения требований, исходя из оценки своих рисков. А разработчик ПО должен быть заинтересован в том, чтобы обеспечить ФО содействие по любому из выбранных вариантов.

Если для проведения оценки требуется предоставление исходных кодов и информации о процессе разработки ПО, то разработчик может попросить финансовую организацию, в чьих интересах проводится оценка, компенсировать затраты на сопровождение проекта со своей стороны.
24 АПРЕЛЯ / 2024
Авторы: Кривонос Виталий, Данилович Илья

По всем вопросам свяжитесь с нами любым удобным способом:

E-mail: legal@bifit.com
Телефон: +7 (495) 532-15-02