Задать вопрос эксперту: Музалевский Федор АлександровичВсе эксперты
Анализ уязвимостей ПО (программного обеспечения) – процесс исследования программного продукта с целью установить, могут ли потенциальные уязвимости позволить злоумышленнику нарушить требования к конфиденциальности, целостности и доступности информации.
При анализе уязвимостей рассматриваются угрозы потенциальных действий нарушителя, способного обнаружить недостатки безопасности, которые позволят осуществить несанкционированный доступ к данным и функциональным возможностям, а также ограничивать санкционированные возможности других пользователей.
Где содержалось требование проводить анализ уязвимостей ПО?
Требования на оценку уязвимостей
Требования проводить анализ уязвимостей ПО содержались в следующих положениях Банка России:
Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». Сейчас, согласно изменениям в Положении 683-П, необходимо проводить оценку соответствия по ОУД4.
Документами Банка России предусмотрено 2 варианта оценки уязвимостей:
Сертификация программного продукта в системе сертификации ФСТЭК России
Проведение анализа уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4), пункт 7.6 ГОСТ Р ИСО/МЭК 15408-3-2013.
Важно
Анализ необходимо проводить при каждой смене версии ПО.
Какое ПО нужно было оценивать на уязвимости по 683-П?
683-П указывал на необходимость анализа уязвимостей в отношении:
прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций;
программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет».
Таким образом, оценку уязвимостей необходимо проводить применительно к ПО, которое используется для оказания финансовых услуг.
В случае с банками к таким системам относятся:
АБС
Интернет-банк
Мобильный банк
и пр.
Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
ГОСТ Р ИСО/МЭК 15408-3-2013. Данный стандарт определяет меры доверия, которые ранее применялись при сертификации средств защиты информации, при этом в настоящий момент он используется как лучшие практики, в том числе и для выявления уязвимостей программных продуктов. В состав мер доверия по ОУД4 входит компонент доверия AVA_VAN.3, именно по данному компоненту и работает эксперт проводящий анализ уязвимостей в соответствии с 683-П.
Оценщик (термин «оценщик» применяется в ГОСТ вместо привычного нам термина «эксперт») проводит тестирование проникновения с целью удостовериться в том, что потенциальные уязвимости не могут быть использованы в среде функционирования объекта оценки. Тестирование проникновения проводится оценщиком, исходя из потенциала нападения — усиленный базовый.
В соответствии 15.2.5 ГОСТ Р 15408-3 работы по компоненту доверия AVA_VAN.3 проходят по следующей схеме:
Элементы действий разработчика
AVA_VAN.3.1D
Разработчик должен представить объект оценки для тестирования
Элементы содержания и представления свидетельств
AVA_VAN.3.1C
Объект оценки должен быть пригоден для тестирования.
Элементы действий оценщика
AVA_VAN.3.1E
Оценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.
AVA_VAN.3.2E
Оценщик должен выполнить поиск информации в общедоступных источниках, чтобы идентифицировать потенциальные уязвимости в объекте оценки.
AVA_VAN.3.3E
Оценщик должен провести независимый анализ уязвимостей ОО с использованием документации руководств, функциональной спецификации, проекта, описания архитектуры безопасности и представления реализации, чтобы идентифицировать потенциальные уязвимости в объекте оценки.
AVA_VAN.3.4E
Оценщик должен провести тестирование проникновения, основанное на идентифицированных уязвимостях, чтобы сделать заключение, что объект оценки является стойким к нападениям, выполняемым нарушителем, обладающим Усиленным базовым потенциалом нападения.
Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
Более подробно работы по анализу уязвимостей регламентированы в ГОСТ Р 58143-2018. Данный стандарт описывает порядок действий оценщика при оценке компонента доверия AVA_VAN.3, а именно:
1) Разработать тесты для проверки наличия потенциальных уязвимостей с учетом соответствующего (AVA_VAN.3.4.E) потенциала нападения
2) Разработать тестовую документацию для тестов на проникновение для обеспечения воспроизводимости
3) Использовать шаги оценивания AVA_VAN.1-5 и AVA_VAN.1-6 в качестве основы для выполнения тестов
4) Зафиксировать результат тестирования
5) Привести в техническом отчете об оценке информацию, об усилиях оценщика по тестированию проникновения
6) Исследовать результаты тестирования и сделать отрицательное заключение по действию оценщика AVA_VAN.1.3.E, если результаты показали, что ПО не является стойким к нарушителю, обладающему базовым потенциалом нападения
7) Привести в техническом отчете об оценке информацию, обо всех пригодных для использования уязвимостях и остаточных уязвимостях
Аудит программного кода и проверка исходных кодов может быть частью процесса по анализу уязвимостей по ОУД4.
Важно! Приемлемым результатом работы оценщика является как обнаружение (выявление) уязвимостей, так и отсутствие выявленных уязвимостей
При этом оценщик должен прикладывать значительные усилия для выявления максимального количества критичных уязвимостей и дефектов программного обеспечения. Для получения результата важно использовать не только сканеры уязвимостей, но и проводить исследование в «ручном» режиме. Очевидно, что поиск максимального количества опасных уязвимостей невозможен без высокой квалификации оценщика.
Отчет по анализу уязвимостей ПО
Результатом работы оценщика, таким образом, является:
Документация по тестированию программного обеспечения
Технический отчет об оценке (анализе) уязвимостей
Именно заключение, сделанное в данном отчете, дает право считать ПО соответствующим требованию положения 683-П. В дальнейшем отчет используется для устранения уязвимостей, которые были выявлены в ходе аудита. По содержанию, в отчете от RTM Group в обязательном порядке содержится:
Описание, предоставленного на исследование, программного обеспечения
Описание хода исследования (процесса) выявления уязвимостей
Методики и методы выявления уязвимостей
Продукты и решения по анализу кода и анализу уязвимостей ПО, которые использовались при проведении исследования
Список выявленных уязвимостей и дефектов программного продукта
Описание выявленных уязвимостей и оценка их критичности
Действия, которые необходимо предпринять для устранения выявленных уязвимостей
Рекомендации по дальнейшим действиям
Дополнительные услуги по анализу уязвимостей
Внешние организации, являющиеся лицензиатами ФСТЭК России могут проводить следующие работы:
Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 683-П для российских банков
Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
Сроки проведения анализа уязвимостей программного продукта соответствия от 2 недель до 6 месяцев (в зависимости от сложности ПО)
Мы обладаем лицензиями:
Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
Лицензия ФСБ России на работу со средствами криптозащиты
Заказать услуги по анализу уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3
Для уточнения стоимости и сроков звоните или пишите нам:
Видео по анализу уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3
Почему RTM Group
RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций
В списке SWIFT Directory of CSP assessment providers
В реестре надежных партнеров торгово-промышленной палаты Российской Федерации
Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)
Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика
Сайт RTM Group входит в тройку лучших юридических сайтов России
В составе ТК №122
Цены на услуги по анализу уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3
Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.
Наименование услуги
Стоимость
Консультация
Бесплатно
Разработка документов заявителя для проведения анализа уязвимостей по ОУД4 в соответствии с ГОСТ 15408-3-2013
Срок — от 10 недель
от 992 000 руб.
Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013
Срок — от 8 недель
от 512 000 руб.
Тестирование на проникновение (пентест) и анализ уязвимостей
Здравствуйте!
Подскажите, что решено на данный момент с профилем защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций?
Олег
Здравствуйте!
Проект методического документа «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» официально утвержден техническим комитетом № 122 «Стандарты финансовых операций», однако до настоящего момента не опубликован.
Кобец Дмитрий Андреевич
23.03.2020
Добрый день. Какие документы должны предоставляться оценщику, либо компании, которая будет выполнять работы по анализу уязвимостей ПО, чтобы можно было сделать заключение о соответствии проверяемого ПО не ниже ОУД4?
Спасибо
Добрый день.
Перечня документов предусмотренного нормативными документами нет. В то же время для оценки необходимы сведения о программном продукте. В каких документах будут содержаться данные сведения — не имеет значения. Перечень сведений и примерных документов, содержащих их ниже:
Задание по безопасности:
Функциональные требования безопасности
Требования доверия к безопасности
Функциональная спецификация:
Назначение и методы всех интерфейсов функций безопасности
Перечень и описание всех параметров каждого интерфейса функций безопасности
Перечень и описание всех действий, связанных с каждым интерфейсом функций безопасности
Описание сообщений обо всех непосредственных ошибках, которые могут возникнуть при вызове каждого интерфейса функциональных возможностей безопасности объекта оценки.
Прослеживание функциональных требований безопасности к интерфейсам функциональных возможностей безопасности объекта оценки
Проект объекта оценки:
Перечень подсистем
Перечень модулей
Описание модулей
Описание архитектуры безопасности:
Перечень функций безопасности (идентификация, аутентификация и пр.)
Перечень механизмов собственной защиты от вмешательства.
Описание защищённости процесса инициации функций безопасности
Описание невозможности обхода функциональных возможностей, осуществляющих выполнение функциональных требований безопасности
Представление реализации:
Определение функциональных возможностей безопасности объекта оценки на таком уровне детализации, что функциональные возможности безопасности объекта оценки могут быть созданы без дополнительных проектных решений.
Демонстрация соответствия между выборкой представления реализации и описанием проекта объекта оценки
Руководство пользователя по эксплуатации:
Описание доступных пользователям функций, возможных прав и обязанностей, которыми следует управлять в защищенной среде функционирования, а также уместных предупреждений.
Описание принципов безопасной работы с предоставленными в объекте оценки интерфейсами.
Описание доступных для каждой пользовательской роли функций и интерфейсов, особенно всех параметров безопасности под управлением пользователя, с указанием безопасных значений
Для каждой пользовательской роли должно быть представлено четкое представление каждого типа имеющих значение для безопасности событий, связанных с доступными пользователю обязательными для выполнения функциями, включая изменение характеристик безопасности сущностей, находящихся под управлением функциональных возможностей безопасности объекта оценки
Возможные режимы работы объекта оценки (включая операции после сбоев и ошибок эксплуатации), их последствия и участие в обеспечении безопасного функционирования
Для каждой пользовательской роли должно быть описание всех мер безопасности
Руководство по подготовительным процедурам:
Шаги для безопасной установки
Шаги для безопасной подготовки среды функционирования
Шаги для безопасной приёмки поставленного объекта оценки
Инструментальные средства и методы (описание):
Перечень инструментальных средств разработки
Опции инструментальных средств разработки
Описание языковых конструкций, используемых в реализации
Разумеется, эксперты РТМ готовы помочь в подготовке данной документации.
Музалевский Федор Александрович
29.01.2020
Здравствуйте! Возможно ли проведение оценки по ОУД4 собственными силами?
Максим
В нормативных документах Центрального Банка 382-П, 683-П указано, что для проведения анализа прикладного программного обеспечения по ОУД4 организации должны привлекать лицензиата ФСТЭК, имеющего лицензию на деятельность по технической защите конфиденциальной информации с указанным в ней видом работ и услуг предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации», а именно: «контроль защищенности конфиденциальной информации в информационных системах», «работы и услуги по проектированию в защищенном исполнении», а также «услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации» (https://rtmtech.ru/licenses/). То есть банку необходимо привлекать сторонние организации имеющие соответствующие лицензии ФСТЭК.
Однако, для некредитной финансовой организации актуальны требования 684-П, такая Организация принимает решение: самостоятельно ли проводить ей оценку по ОУД4 или с привлечением проверяющей организации.
Гончаров Андрей Михайлович
06.02.2020
Здравствуйте!
По какой методике должен проводиться аудит программного обеспечения?
Владислав
Требования к проведению аудита прикладного программного обеспечения по ОУД4 содержатся в методических документах, выпускаемых ФСТЭК и предусмотренных ГОСТ 57580.2. В данных документах указаны цели и методика.
В ГОСТ 15408 указаны методы и средства обеспечения безопасности, критерии оценки безопасности информационных технологий, необходимый компонент доверия AVA_VAN.3 и метод анализа уязвимостей программного обеспечения, а именно — сосредоточенный анализ уязвимостей.
Методика заключается в подготовке к проведению исследования или подготовке исследовательского стенда, проведение исследований по выявлению уязвимостей (экспертный анализ, статический анализ, динамический анализ, ручной анализ) и оформление результатов исследований.
Гончаров Андрей Михайлович
23.01.2020
Добрый день!
Какое программное обеспечение должно подвергаться анализу по ОУД4 в банке?
И нужно ли оценивать АБС или ДБО?
Михаил
Добрый день.
В 683-П и 382-П указано, что Организация обязана использовать программное обеспечение (далее — ПО), предоставляемое клиентам, которое используется для осуществления банковских операций (ДБО) и ПО, используемое для осуществления переводов денежных средств, а также в котором происходит процесс обработки защищаемой информации на участках, используемых для приема электронных сообщений (отдельные компоненты АБС), сертифицированное по ОУД4.
Исходя из вышеуказанных требований можно сделать вывод, что анализу по ОУД.4 должно подвергаться ПО в функции которого входит совершение банковских операций (предоставляемое клиентам), а также ПО используемое для операции по переводу денежных средств и обработки защищаемой информации на участках, используемых для приема электронных сообщений.
Следовательно, ответ на Ваш вопрос – да, системы ДБО и отдельные компоненты АБС, используемые для приема электронных сообщений с использованием сети интернет, должны подвергаться анализу по ОУД4 в банке.
Гончаров Андрей Михайлович
29.01.2020
Что включает в себя данный пункт в рамках предлагаемых услуг «Разработка документов заявителя для проведения анализа уязвимостей по ОУД4 в соответствии с ГОСТ 15408-3-2013»?
Требуется ли разрабатывать задание по безопасности в рамках данных работ?
Сергей
Для проведения работ по ОУД4, требуется предоставление Разработчиком Оценщику ряда документов. Точный перечень не установлен ГОСТ или иным документом, и варьируется в зависимости от объекта оценки (анализируемой системы). Обычно это:
— Задание по безопасности
— Функциональный, модульный проекты
— Представление реализации
— Инструкция по безопасной установке
Документы могут быть заменены аналогами. В любом случае, решающее значение имеет не перечень документов, а их содержание. Содержание документов должно раскрывать требования к безопасности приложения и подтверждение полноты реализации этих требований.
Музалевский Федор Александрович
18.09.2020
Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?
Михаил
Пентест включает в себя анализ уязвимостей инфраструктуры — серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.
Исследование ПО на уязвимости по уровню ОУД4 — это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.
Музалевский Федор Александрович
21.09.2020
Артур
В Положении 719-П.
Музалевский Федор Александрович
03.12.2020
Какие есть требования и нормативные акты со стороны Банка России?
Андрей
Основные положения, которые действуют для финансовых организации по анализу уязвимости — это положения 382-П, 683-П и 684-П. По соответствию на ОУД4 — это положение 719-П.
Музалевский Федор Александрович
03.12.2020
На кого распространяются требования по ОУД4? На какие системы?
Андрей
По положениям 382-П и 719-П распространяется на всё прикладное ПО банка (ППО АСП).
По положениям 683-П и 684-П — распространяется на системы взаимодействия с клиентами (ДБО).
Если дословно: Прикладного программного обеспечения системы приложения распространяемых кредитной организацией клиентам для совершения финансовых операций и серверной части, которая эти сообщения обрабатывает.
Музалевский Федор Александрович
03.12.2020
Андрей
Действующие Положения 382-П и 683-П предусматривают либо сертификацию на НДВ, либо анализ уязвимости. Для анализа уязвимости в рамках 683-П требуется привлекать стороннюю организацию-лицензиата ФСТЭК, который в соответствии с ГОСТ 15408 проведет действия по AVA_VAN.3 и зависимостям и в результате получит отчет по оценке.
Т.е. сам себе банк не может проводить анализ уязвимости.
Музалевский Федор Александрович
03.12.2020
Здравствуйте, то есть если разработчик ДБО предоставляет сертификат соответствия ФСТЭК на продукт, то никаких анализов больше не требуется?
Дмитрий
При наличии сертификата на НДВ или по 131 приказу анализ уязвимостей не требуется. Сертификат ФСТЭК — это альтернатива анализу уязвимости.
Музалевский Федор Александрович
03.12.2020
Добрый день!
Скажите пожалуйста, а как быть, если Банк не самостоятельно, а через подрядчика разрабатывал ПО.
Кто должен проходить ОУД4? Чья это зона ответственности?
Яна
Банк должен предоставить ЦБ сертификат/отчет о прохождении анализа уязвимости используемого ПО. Кто разрабатывал ПО значение не имеет.
Музалевский Федор Александрович
03.12.2020
Андрей
Без исходного кода анализ уязвимости не проводиться. Необходимо получить исходный код или требовать проведения анализа от тех, у кого он есть.
Музалевский Федор Александрович
03.12.2020
Яна
Да, может. А разработчик может отказать.
В случае, если разработчик не предоставляет исходный код, то банк вправе перейти к другому разработчику, который предоставит исходный код или предоставит сертификат, или проведет сам анализ уязвимости.
В любом случае ответственность на банке.
Музалевский Федор Александрович
03.12.2020
Александр
Вправе. Но банк вправе перейти на другого вендора. Рыночные отношения.
Музалевский Федор Александрович
03.12.2020
Если банк лицензиат ФСТЭК, может ли банк сам проводить оценку соответствия по ОУД4?
Григорий
В п. 4.2. Положения 683-П сказано, что для анализа уязвимости в рамках 683-П требуется привлекать стороннюю организацию — лицензиата ФСТЭК. Таким образом сам себе банк не может проводить анализ уязвимости.
Музалевский Федор Александрович
03.12.2020
Есть ли какое-то послабление для некредитных финансовых организаций в части оценки по ОУД4?
Евгений
В положении 684-П п. 9 сказано «…По решению некредитной финансовой организации анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.»
Таким образом НФО могут самостоятельно проводить анализ уязвимостей по ОУД4.
Музалевский Федор Александрович
03.12.2020
В каком документе можно прочитать — что такое функционал безопасности?
Александр
Функционал безопасности описан в ГОСТ 15408-1-2012
Музалевский Федор Александрович
03.12.2020
Много ли проверяется функций безопасности обычно?
Артур
Для готового программного продукта не менее четырех: идентификация, аутентификация, разграничение прав доступа, регистрация событий.
Музалевский Федор Александрович
03.12.2020
Андрей
Перечень средств включает в себя сканеры уязмиостей, анализаторы кода и средства разработки. Конкретный состав определяется архитектурой тестируемого приложения.
Музалевский Федор Александрович
03.12.2020
Какая средняя продолжительность проведения анализа уязвимости по ОУД4?
Андрей
Продолжительность проведения анализа уязвимости — занимает в среднем около полугода.
Музалевский Федор Александрович
03.12.2020
Что делать при обновлении версий?
Артур
Анализ уязвимости проводится для конкретной версии ПО.
В комментариях Банка России говорится, что заново проводить анализ уязвимости или оценку соответствия следует в том случае, если в ПО меняется что-нибудь связанное с функциями безопасности. Т.е. если обновление связано с аутентификацией, то необходимо проводить заново, а если поменяли интерфейс пользователя, то не нужно.
Музалевский Федор Александрович
03.12.2020
Андрей
Повторное проведение работ в разы быстрее и дешевле. Вплоть до 6 кратного снижения трудозатрат.
Музалевский Федор Александрович
03.12.2020
Какой самый маленький срок проведения повторного анализа по ОУД4?
Андрей
Самый маленький срок проведения повторного анализа — в пределах месяца.
Музалевский Федор Александрович
03.12.2020
Илья
Требований по ОУД4 в Положении 672-П нет.
Хотя, если вдаваться в подробности, то АРМ КБР является той же системой ДБО со стороны ЦБ и по хорошему он должен проходить ОУД4 по тому же 684-П.
Музалевский Федор Александрович
03.12.2020
Андрей
Гарантировать уровень может только разработчик. Оценщик может его установить и подтвердить.
Музалевский Федор Александрович
03.12.2020
Добрый день!
Обязательна-ли сертификация АБС банка согласно пункту 4.1 Положения 683-П, т.к. напрямую АБС не использует информационно-телекоммуникационную сеть «Интернет»?
И мы не распространяем никакие составляющие АБС своим клиентам.
Сергей
Добрый день.
Прямых указаний именно для АБС нет. Существуют архитектуры АБС, принимающие сообщения от клиентов. Поэтому Банк России и рекомендует рассматривать каждый случай отдельно.
По существу вопроса — если АБС не обрабатывает полученные от клиента платежные поручения, то и сертифицировать (проводить анализ уязвимостей) не надо.
Следует отметить, что согласно требованиям 683-П «В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей и контроля отсутствия недекларированных возможностей.». То есть Банк может самостоятельно принять решение и сертифицировать или провести анализ уязвимостей в отношении АБС, даже если это не обязательно.
Музалевский Федор Александрович
03.12.2020
Известны меры наказаний от ЦБ за несоответствие ПО ОУД4?
Артем
Меры наказаний строго не регламентированы, но известно, что недавно ЦБ оштрафовал 17 банков за несоответствие требованиям ИБ. Какие банки, за что оштрафовали и на какие суммы — неизвестно. Среди наших клиентов таких не было. Здесь ЦБ занимает лояльную позицию и не выписывает штрафы сразу, а дает время на устранение. Отдельно отметим, что провести анализ уязвимостей за 30 дней стоит гораздо дороже, чем провести нормальный аудит за 3-4 месяца. В этом аспекте существенную роль играет не сумма штрафа, а последствия, сопутствующие наказанию. Сумма штрафа может быть и 30 000 рублей, а аудит с 1 500 000 рублей вырастет в цене до 5 000 000 рублей.
Музалевский Федор Александрович
19.02.2021
Добрый день!
Что будет являться конечным документом по оценке соответствия по ОУД4, для предъявления проверяющим из ЦБ?
Денис
Конечным документом будет являться отчет об оценке. Документ так и называется «Отчет об оценке» в соответствии с ГОСТом 15408. Отчет об оценке дается и при оценке соответствия, и при проведении анализа уязвимостей.
Музалевский Федор Александрович
19.02.2021
По ОУД4 нужно ДБО или еще и АБС?
Дмитрий
Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 — ДБО точно, АБС возможно, в зависимости от архитектуры.
Музалевский Федор Александрович
19.02.2021
п.2.5 719-П «Операторы по переводу денежных средств, не указанные в абзаце первом настоящего пункта, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 131.» однозначно оуд не появляется. считается ли, что Банки теперь ОУД не смогут делать, а только сертификацию?
Алексей
В пункте 2.5 написано, что операторы по переводу денежных средств — только сертификация, но в первом разделе 719-П сказано, что оператор по переводу денежных средств обеспечивает использование ПО, в отношении которого проведена оценка соответствия ОУД4. Таким образом, если рассматривать 2.5 как конкретизацию требований, то ОУД4 банки делать не смогут, только сертификацию. Если речь идет о технической ошибке либо опечатке, то сертификация является альтернативой оценке соответствия по ОУД4 (что вполне логично и ожидаемо). Комментариев Банка России по этому поводу на данный момент нет.
Музалевский Федор Александрович
19.02.2021
Т.е. это проблема разработчика приложения (ОУД 4), если ОУД 4 нет, не покупаем приложение?
Дмитрий
Наличие ОУД4 — это проблема банка, потому что проверять его придет ЦБ. И если нет ОУД4 вы либо приложение не покупаете, либо вы принимаете риск того, что ЦБ накажет за это банк.
Музалевский Федор Александрович
19.02.2021
Добрый день, а если мобильное приложение собственной разработки?
Какие дополнительные требования нужно выполнять?
Михаил
На данный момент необходимо проводить анализ уязвимостей по ОУД4.
Музалевский Федор Александрович
19.02.2021
Банком приобретается новое мобильное приложение, когда надо проводить пентест?
Ольга
Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.
Музалевский Федор Александрович
19.02.2021
Для работ по ОУД4 требуется привлечение внешних организаций с лицензией на ТЗКИ?
Антон
Да, требуется привлечение внешнего лицензиата.
Музалевский Федор Александрович
19.02.2021
В чём заключается отличие анализа уязвимостей по ОУД4 от оценки соответствия по ОУД4?
Евгений
Отличие анализа уязвимостей по ОУД4 от оценки соответствия по ОУД4 заключается в том, что при анализе уязвимостей оценивается лишь часть классов доверия (семейства и компоненты доверия, соответственно, тоже).
На приведённом изображении указаны компоненты доверия, необходимые к оценке по ГОСТ 15408-3-2013. Зелёным цветом выделены работы по анализу уязвимостей по ОУД4 (главным критерием является AVA_VAN.3, а остальные необходимо оценивать в соответствии с зависимостью семейства AVA_VAN), а красным пунктиром выделены работы по оценке соответствия по ОУД4.
Исходя из вышесказанного становится понятно, что работы по анализу уязвимостей по ОУД4 – примерно треть работ по оценке соответствия по ОУД4.