Анализ уязвимостей программного обеспечения/онлайн сервиса по критериям безопасности AVA_VAN.2 в соответствии с ГОСТ 15408-3

Процесс идентификации и диагностики уязвимостей в софте и онлайн-сервисах на основе критерия AVA_VAN.2 выполняется с целью их последующего включения в каталог цифровых продуктов платформы «ГосТех».

Узнать стоимость?

Перейти

Эксперты по анализу уязвимостей AVA_VAN.2 в соответствии с ГОСТ 15408-3

Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты

Зачем нужно выявлять и анализировать уязвимости по критериям безопасности AVA_VAN.2?

Анализ уязвимостей по критериям безопасности AVA_VAN.2 преследует несколько ключевых целей:

Добавление в каталог «ГосТех»
Подтверждает факт соответствия онлайн-сервиса стандартам безопасности, необходимым для включения в государственный реестр цифровых продуктов, что является предпосылкой для дальнейшего использования в государственных информационных системах.
Выявление и устранение уязвимостей
Определение слабых мест позволяет предотвратить их эксплуатацию злоумышленниками, что снижает риск несанкционированного доступа к системе или данным и повышает общую безопасность продукта.
Улучшение качества и доверия
Анализ уязвимостей способствует повышению качества программного обеспечения и онлайн-сервисов, а также укрепляет доверие потребителей, демонстрируя приверженность разработчиков безопасности и надежности своих продуктов.
Защита данных пользователей
Систематический анализ уязвимостей помогает защитить чувствительные и конфиденциальные данные пользователей от утечек и злоупотреблений, что является критически важным аспектом в современном цифровом мире.

Таким образом, процесс идентификации и диагностики уязвимостей в соответствии с критериями безопасности AVA_VAN.2 является фундаментальным для обеспечения безопасности и надежности программного обеспечения и онлайн-сервисов, а также для поддержания высокого уровня доверия со стороны пользователей и государственных органов.

Нормативно-правовая база

Требования проводить анализ уязвимостей по критериям безопасности AVA_VAN.2 содержатся в следующих информационных источниках:

Методические рекомендации по включению сервисов в единую цифровую платформу Российской Федерации «ГосТех» версия 1.0 (далее по тексту «Методические рекомендации»)
Методические рекомендации «Базовые сервисы единой цифровой платформы Российской Федерации «ГосТех»
Сайт платформы ГосТех в разделе, описывающем подготовительные процедуры по размещению онлайн-сервиса на платформе
ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3

В каком программном обеспечении необходимо проверять уязвимости на соответствие критериям безопасности AVA_VAN.2?

Методические рекомендации сообщают о необходимости выявления и анализа уязвимостей в программном обеспечении/онлайн-сервиса по критериями безопасности AVA_VAN.2 в отношении:

Базовых/стандартных решений платформы «ГосТех», реализующих фундаментальную функциональность, связанную с идентификацией, аутентификацией пользователей, разграничением доступа, аудитом событий безопасности
Дополнительных решений платформы «ГосТех», охватывающих функциональность, выходящую за рамки типовых решений платформы с целью удовлетворения нетиповых потребностей пользователей

Какие действия необходимо выполнить для анализа уязвимостей программного обеспечения/онлайн-сервиса по критериям безопасности AVA_VAN.2?

Анализ уязвимостей по критериям безопасности AVA_VAN.2 включает в себя следующие шаги:

Подготовка документации разработчика
Сбор и подготовка всех необходимых технических документов, которые описывают архитектуру, функции и безопасность программного обеспечения/онлайн-сервиса.
Разработка тестов
Создание комплексного набора тестов, направленных на выявление потенциальных уязвимостей, которые могут быть использованы злоумышленниками.
Разработка тестовой документации
Оформление документации, которая будет включать методики и процедуры проведения тестирования на проникновение.
Тестирование на проникновение
Проведение тестов на проникновение с использованием разработанных методик для выявления уязвимостей.
Документирование результатов
Фиксация всех обнаруженных уязвимостей и результатов тестирования в соответствующих документах.
Составление технического отчета, включающего в себя:
- Информацию о проведенных тестах на проникновение
- Данные обо всех обнаруженных уязвимостях
- Оценку устойчивости программного обеспечения/онлайн-сервиса против действий нарушителя с базовым уровнем потенциала нападения

Кому полезна данная услуга?

Услуга, направленная на анализ уязвимостей по критериям безопасности AVA_VAN.2, может пригодится различным организациям и предприятиям, желающим разместить программное обеспечение/онлайн-сервис на платформе «ГосТех».

К ним относятся:

Государственные организации и ведомства, осуществляющие перевод своих программных решений на платформу «ГосТех»
Частные IT-компании, желающие перенести существующее программное решение на платформу «ГосТех»
Частные IT-компании, желающие разработать новый онлайн-сервис для платформы «ГосТех»

Что требуется, чтобы выполнить анализ уязвимостей AVA_VAN.2?

Для оказания услуги необходима следующая информация и материалы:

Документация разработчика в составе:
- Задание по безопасности
  Документ, в котором изложены основные требования к безопасности ПО, реализация которых позволяет устранить актуальные угрозы.
- Описание архитектуры безопасности
  Документ, в котором описываются особенности архитектуры ПО с точки зрения защиты от вмешательства в процессы безопасности
- Базовая функциональная спецификация
  Документ, в котором описаны основные интерфейсы, обеспечивающие и поддерживающие выполнение функциональности, связанной с безопасностью ПО.
- Базовый проект объекта оценки
  Документ, описывающий структуру ПО на уровне подсистем, которые реализуют и поддерживают выполнение функциональности, связанной с безопасностью ПО.
- Руководство пользователя по эксплуатации
  Документ, в котором описаны основные функциональные возможности ПО для каждой роли пользователя в соответствии с матрицей доступа.
- Руководство по подготовительным процедурам
  Документ, предоставляющий описание подготовительных процедур, необходимых для корректной установки программного продукта.

Исходный код программного обеспечения/онлайн-сервиса

Почему RTM Group?

RTM Group имеет значительный опыт в выявлении и анализе уязвимостей по критериям безопасности (от AVA_VAN.1 до AVA_VAN.5), что позволяет компании эффективно справляться с самыми сложными задачами в этой области;
Специалисты RTM Group активно участвуют в проектах по улучшению качества и безопасности программных продуктов, что подтверждает их высокую квалификацию;
Гибкие сроки проведения работ (от 2 недель до 3 месяцев) позволяют компании индивидуально подходить к каждому клиенту и проекту.
Мы обладаем лицензиями:
- Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
- Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
- Лицензия ФСБ России на работу со средствами криптозащиты

Заказать услуги по анализу уязвимостей AVA_VAN.2 в соответствии с ГОСТ 15408-3

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по анализу уязвимостей AVA_VAN.2 в соответствии с ГОСТ 15408-3

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги	Стоимость
Консультация	Бесплатно
Анализ уязвимостей программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013 Срок – от 8 недель	от 512 000 руб.
Помощь в подаче заявки в ГосТех Помощь в подаче заявки и в выполнении требований для включения прикладного сервиса в каталог Единой цифровой платформ «ГосТех»	от 90 000 руб.
Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Каждый 5-й российский банк - наш клиент

Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

Услуги для вас

Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

- Где содержится требование проводить оценку (анализ) уязвимостей ПО?
- Какое ПО нужно оценивать на уязвимости?
- Что сказано в ГОСТ 15408-3 про анализ уязвимостей ПО?
- Как сделать анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3?
- Отчет по анализу уязвимостей ПО

Консультации по включению сервиса в платформу ЕЦП ГосТех

ГосТех – это платформа для быстрого и эффективного создания ГИС и цифровых сервисов. Решение предназначено для поддержания качества и стандартов безопасности цифровых сервисов, для нужд отечественных разработчиков. При выполнении определённых требований, поставщиками сервисов на платформу могут стать российские компании, индивидуальные предприниматели и физические лица.

Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013

— Кому необходимо проводить оценку соответствия
— Различия между оценкой соответствия и анализом уязвимостей
— Что делать тем, кто уже провёл анализ уязвимостей
— Профиль защиты
— Кто может проводить оценку соответствия
— Стоимость работ по оценке соответствия программного обеспечения
— Заказать работы по оценке соответствия программного обеспечения

Разработка документов на автоматизированную систему в соответствии с требованиями ГОСТ 34 серии

— Зачем разрабатывать документы в соответствии требованиям ГОСТ 34
— Этапы разработки документации на автоматизированную систему
— Результаты и отчетная документация

Разработка документов в соответствии с требованиями ГОСТ 19 серии

— Зачем разрабатывать документы в соответствии требованиям ГОСТ 19
— Кому нужно соответствовать требованиям ГОСТ 19
— Этапы разработки документации
— Результаты и отчетная документация

Разработка комплекта документации на программное обеспечение

— Основная цель разработки документации для ПО
— Этапы проведения работ при подготовке документов для ПО
— Ход проведения работ при разработке документов для программного обеспечения
— Что требуется от заказчика для подготовки документов на ПО?
— Процесс подготовки документов для программного обеспечения
— Дополнительные виды услуг в рамках разработки комплекта документов на ПО

Продукты и решения для вас

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.

Цифровая криминалистика

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.