Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013

Мы предлагаем:

  • Оценку соответствия по ОУД4;
  • Работы с профилем защиты или без него – по выбору Заказчика;
  • Консультирование по вопросам устранения недостатков;
  • Разработку документации по ГОСТ 15408 для соответствия требованиям ОУД4.

Почему мы:

  • Более 20 успешных проектов для финансовых организаций, в том числе прошедших проверку Банка России;
  • Проекты реализованы для различных участников рынка: значимых банков, операторов платежных системы, не кредитных финансовых организаций, поставщиков платежных приложений.

Важно:

Для проведения работ необходима передача исходного кода.

Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013 - услуги RTM Group
Оценка соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013 - от RTM Group
Узнать стоимость?

Эксперты по оценке соответствия программного обеспечения по ОУД4 и ГОСТ 15408-3

Эксперт по оценке соответствия программного обеспечения по ОУД4 и ГОСТ 15408-3 Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты

Цель проведения оценки соответствия

Повышение безопасности программного обеспечения.

 

Формат проведения работ

Состав работ заключается в анализе экспертами имеющейся документации, работе с исходным кодом, интервьюировании разработчиков для определения заложенных в программный продукт функций безопасности, с последующим описанием.

Работы по обследованию проводятся дистанционно на основании документации. Исходный код анализируется на территории исполнителя. Для уточнения отдельных моментов возможно проведение интервью в онлайн формате.

 

В ходе проведения оценки проводятся следующие работы: 

Для проведения оценки соответствия ОУД4 необходимо предоставление документации, указанной в п. 7.6.2. ГОСТ 15408-3-2013. На данном этапе происходит подготовка и оформление документов. А именно:

    • ADV_ARC.1 Описание архитектуры безопасности
    • ADV_FSP.4 Полная функциональная спецификация
    • ADV_IMP.1 Представление реализации ФБО
    • ADV_TDS.3 Базовый модульный проект
    • ALC_СМС.4 Поддержка генерации, процедуры приемки и автоматизация
    • ALC_CMS.4 Охват УК отслеживания проблем
    • ALC_DEL.1 Процедуры поставки
    • ALC_DVS.1 Идентификация мер безопасности
    • ALC_LCD.1 Определенная разработчиком модель жизненного цикла
    • ALC_TAT.1 Полностью определенные инструментальные средства разработки
    • ATE_COV.2 Анализ покрытия
    • ATE_DPT.2 Тестирование: модули, осуществляющие безопасность
    • ATE_FUN.1 Функциональное тестирование
    • AGD_OPE.1 Руководство пользователя по эксплуатации
    • AGD_PRE.1 Подготовительные процедуры
    • ST Задание безопасности

Работы по оценке соответствия включают в себя, в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013:

  1. Планирование тестирования проникновения:
    • идентификацию потенциальных уязвимостей;
    • описание возможностей и мотивации нарушителя.
  2. Разработка тестов проникновения:
    • разработку тестов проникновения, используя идентифицированные шаблоны атак;
    • разработку тестов проникновения с использованием метода гипотез (предположений) о недостатках;
    • документирование тестов проникновения.
  3. Проведение тестирования проникновения:
    • выполнение тестов проникновения;
    • анализ результатов тестов;
    • уточнение тестов с учетом полученных результатов;
    • документирование результатов тестирования проникновения.
  4. Разработка отчетности по результатам тестирования проникновения:
    • условия проведения тестирования проникновения;
    • обобщенные результаты тестирования проникновения;
    • детализацию результатов тестирования проникновения по отношению к каждой потенциальной уязвимости.
  5. Анализ процесса разработки программного обеспечения в части:
    • управления версиями;
    • предварительного тестирования;
    • организации процесса разработки.

 

Результат и отчетная документация:

  • Комплект технической документации
  • Инструментальные средства и методы
  • Руководство по подготовительным процедурам
  • Руководство пользователя по эксплуатации
  • Функциональная спецификация
  • Базовый модульный проект
  • Описание архитектуры безопасности
  • Представление реализации ФБО
  • Задание по безопасности
  • Свидетельство о покрытии тестами
  • Свидетельство анализа соответствия представлений функций безопасности ОО
  • Процедуры тестирования и тестовая документация
  • Описание процедур поставки
  • Документация по безопасности разработки
  • Документация определения жизненного цикла
  • Документация по управлению конфигурацией
  • Отчет об оценке соответствия ОУД4 (в соответствии с ГОСТ и методическими документами ФСТЭК), состоящий из:
    1. Описание объекта оценки;
    2. Описание условий проведения исследования объектов оценки;
    3. Описание исследовательского стенда;
    4. Состав исследований, проводимых в отношении объекта оценки;
    5. Описание тестов и инструментальных средств, используемых для проведения каждого вида исследования;
    6. Вывод о соответствии объекта оценки уровню контроля и, соответственно, оценочному уровню доверия.
  • Протокол оценки задания по безопасности
  • Методика испытаний
  • Программа испытаний
  • Результаты выборочного независимого тестирования

    Узнать стоимость

    Кому необходимо проводить оценку соответствия по ОУД4

    Банкам, согласно Положению 719-П

    В Положении 719-П указаны требования к сертификации в отношении прикладного программного обеспечения прошедших сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД4.

    Банкам необходимо применять платежное ПО, имеющее сертификат ФСТЭК, либо прошедшее оценку по ОУД4 у проверяющей организации.

     

    Банкам, согласно Положению 683-П

    В Положении 683-П  для кредитных финансовых организаций реализующих усиленный и стандартный уровень защиты информации указано требование обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией своим клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014).

     

    НФО, согласно Положению 757-П

    В Положении 757-П для некредитных финансовых организаций реализующих усиленный и стандартный уровень защиты информации указано требование обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых НФО своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет», прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее — ГОСТ Р ИСО/МЭК 15408-3-2013).

     

    Оценка соответствия и анализ уязвимостей по ОУД – в чем различия?

    Основное различие между оценкой и анализом уязвимости заключается в наборе компонентов доверия, которые надо подтвердить, и как следствие, количеством мероприятий. Ниже в таблице (рис. 1) зеленым выделены компоненты которые относятся как к анализу уязвимостей так и к оценке соответствия, оранжевым – только к оценке соответствия..

    Различие между оценкой соответствия и анализом уязвимости ОУД 4

    Рисунок 1. Таблица различия между оценкой и анализом уязвимости

    Для проведения оценки соответствия необходимо внедрить поддержку жизненного цикла и самостоятельное тестирование кода и сборок (как функциональное, так и по безопасности).

    Разумеется, внедрение поддержки жизненного цикла требует определенной документации и перестроения процессов разработки.

    На схемах приведены примеры соответствия документации (справа) и компонент доверия из ОУД4. Зеленым обозначены компоненты и документы, относящиеся как к анализу уязвимостей, так и к оценке соответствия, синим – только к оценке соответствия.

    ОУД4: Разработка

    Схема 1. Разработка

    ОУД4: Руководства

    Схема 2. Руководства

    ОУД4: Поддержка жизненного цикла

    Схема 3. Поддержка жизненного цикла

    ОУД4: Оценка задания по безопасности

    Схема 4. Оценка задания по безопасности

    ОУД4: Тестирование

    Схема 5. Тестирование

     

    Что делать тем, кто уже провёл анализ уязвимостей

    Во-первых, необходимо разработать и внедрить документацию по поддержке жизненного цикла, оценки задания по безопасности и тестированию.

    Отчетность по оценке соответствия по ОУД4 будет шире, чем по анализу уязвимостей. Если по анализу уязвимости достаточно было одного отчета об оценке, то при оценке соответствия по ОУД4 необходимо еще выдать подтверждение соответствия – документ по оценке заданий по безопасности, и провести выборочное функциональное тестирование.

    В среднем объем работ вырастает примерно в три раза по сравнению с анализом уязвимостей.

    В то же время те, кто уже провели анализ уязвимостей по ОУД4, могут использовать его результаты при проведении оценки соответствия.

     

    Профиль защиты

    Методический документ «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» опубликован Банком России 10.07.2020 и носит рекомендательный характер.

    По отношению к оценке соответствия добавляет не так много, как по отношению к анализу уязвимостей, но все равно порядочно.

    Требования профиля защиты гораздо жестче, чем у ОУД4 – получить соответствие с применением профиля крайне тяжело!

     

    Кто может проводить оценку соответствия по ОУД4

    Для банков – проводить оценку соответствия может только лицензиат ФСТЭК. В перспективе (по проекту 683-П) – можно самостоятельно.

    Согласно Положения 719-П, оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

     

    Для НФО – проводить оценку соответствия можно самостоятельно или с привлечением лицензиата ФСТЭК.

    Согласно п. 1.8 Положения 757-П некредитная финансовой организации принимает решение: самостоятельно ли проводить ей оценку по ОУД4 или с привлечением проверяющей организации – лицензиата ФСТЭК.

     

    Почему RTM Group?

    • Эксперты компании RTM Group успешно завершили проекты по аудитам и оценке соответствия по ОУД4 для:
      • Значимых банков;
      • Некредитных финансовых организаций;
      • Операторов платежной системы;
      • Разработчиков банковского ПО.
    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 719-П, 757-П, 683-П для российских банков, некредитных финансовых организаций, а также платежных систем
    • Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
    • Сроки проведения оценки соответствия программного продукта составляют от 1 до 6 месяцев (в зависимости от сложности ПО)
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по оценке соответствия программного обеспечения по ОУД4 и ГОСТ 15408-3

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по оценке соответствия программного обеспечения по ОУД4 и ГОСТ 15408-3

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по оценке соответствия программного обеспечения по ОУД4 и ГОСТ 15408-3

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Оценка соответствия программного обеспечения по ОУД4 в соответствии с ГОСТ 15408-3-2013

    Срок — от 8 недель

    Подробное описание
     

    от 512 000 руб.

    Разработка документов заявителя для проведения оценки соответствия по ОУД4 в соответствии с ГОСТ 15408-3-2013

    от 2 108 000 руб.

    Тестирование на проникновение (пентест) и анализ уязвимостей

    Срок — от 2 недель

    Подробное описание
     

    от 150 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    719-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

    Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

    2800+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    Каждый 5-й российский банк - наш клиент

    Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

    Нами проведено более 800 аудитов

    Сотрудники компании провели более 700 аудитов по различным критериям

    Наши отзывы по оценке соответствия программного обеспечения по ОУД4 и ГОСТ 15408-3

    Благодарность от АО «НВКбанк»
    26.08.2019
    Отдел по обеспечению информационной безопасности АО «НВКбанк» выражает благодарность руководству и специалистам ООО «РТМ ТЕХНОЛОГИИ» за эффективно проведенные работы по проведение оценки соответствия по требованиям Положения Банка России от 9 июня 2012 г. № 382-П. По результатам проекта специалистами ООО «РТМ ТЕХНОЛОГИИ» было предоставлено заключение о результатах оценки соответствия и подготовлены рекомендации по устранению всех выявленных несоответствий и совершенствованию применяемых мер по защите информации при осуществлении переводов денежных средств. С завершением работ мы хотим поблагодарить команду ООО «РТМ ТЕХНОЛОГИИ» за профессионализм, надежность и качественное исполнение проекта. Рекомендуем компанию как ответственного и высокопрофессионального исполнителя, а также надеемся в дальнейшем продолжить сотрудничество между нашими организациями в будущих проектах по информационной безопасности. С уважением, Советник Председателя Правления по информационной безопасности Бобров Б.Б.
    Благодарность от КБ «ОБР» (ООО)
    26.08.2019
    По результатам внешней независимой оценки выполнения КБ «ОБР» (ООО) установленных Положением 382-П требований к обеспечению защиты информации при осуществлении переводов денежных средств, специалисты компании ООО «РТМ ТЕХНОЛОГИИ» предоставили заключение о выполнении Банком необходимых требований, подготовили подробный отчет по результатам оценки соответствия платежной системы требованиям 382-П и предоставили рекомендации по совершенствованию системы защиты информации. КБ «ОБР» (ООО) благодарит ООО «РТМ ТЕХНОЛОГИИ» за оказанное содействие в совершенствовании систем защиты информации Банка и оперативность исполнения проекта, а так же рекомендует компанию как надежного партнера, с которым мы хотели бы продолжить сотрудничество и в будущем. С уважением, Начальник отдела СИБ КБ «ОБР» (ООО) Иванов Н.И.
    Благодарность от ООО «Цифровой Платеж»
    05.10.2020
    Для улучшения состояния информационной безопасности корпоративной инфраструктуры и в целях проверки обеспечения соответствия требованиям регулятора, Общество с ограниченной ответственностью «Цифровой Платеж», ИНН 7714909651, (далее - ООО «Цифровой Платеж») обратилось к компании ООО «РТМ ТЕХНОЛОГИИ», владеющей необходимыми компетенциями, для проведения работ по анализу уязвимостей по требованиям к оценочному уровню доверию ОУД4 в соответствии с ГОСТ 15408-3-2013. ООО «Цифровой Платеж» - оператор Платежной системы Sendy. Sendy — национально значимая Платежная система для совершения операций с помощью мобильного устройства, в основе которой лежит технология оплаты через QR-код. Банк России зарегистрировал оператора Платежной системы Sendy 30 сентября 2014 года под номером 0035. В рамках проведенных работ были оказаны услуги:
    • Анализ уязвимостей по ОУД4 в соответствии с ГОСТ 15408-3-2013;
    • Разработка документов заявителя для проведения анализа уязвимостей по ОУД4 в соответствии с ГОСТ 15408-3-2013.
    Консультанты ООО «РТМ ТЕХНОЛОГИИ» подготовили подробный отчет о результатах анализа уязвимостей по требованиям к оценочному уровню доверию ОУД4 в соответствии с ГОСТ 15408-3-2013. ООО «Цифровой Платеж» благодарит ООО «РТМ ТЕХНОЛОГИИ» за качественное выполнение работ и рекомендует компанию как надежного и ответственного поставщика услуг в области защиты информации. Генеральный директор О.В. Ярыгина Исполнитель И.М. Чернышов

    Услуги для вас

    Продукты и решения для вас

    Нам доверяют

    FAQ: Часто задаваемые вопросы

    В чём заключается отличие анализа уязвимостей по ОУД4 от оценки соответствия по ОУД4?

    Отличие анализа уязвимостей по ОУД4 от оценки соответствия по ОУД4 заключается в том, что при анализе уязвимостей оценивается лишь часть классов доверия (семейства и компоненты доверия, соответственно, тоже).

    На приведённом изображении указаны компоненты доверия, необходимые к оценке по ГОСТ 15408-3-2013. Зелёным цветом выделены работы по анализу уязвимостей по ОУД4 (главным критерием является AVA_VAN.3, а остальные необходимо оценивать в соответствии с зависимостью семейства AVA_VAN), а красным пунктиром выделены работы по оценке соответствия по ОУД4.

    Исходя из вышесказанного становится понятно, что работы по анализу уязвимостей по ОУД4 – примерно треть работ по оценке соответствия по ОУД4.

    Здравствуйте!
    По какой методике должен проводиться аудит программного обеспечения?

    Требования к проведению аудита прикладного программного обеспечения по ОУД4 содержатся в методических документах, выпускаемых ФСТЭК и предусмотренных ГОСТ 57580.2. В данных документах указаны цели и методика.

    В ГОСТ 15408 указаны методы и средства обеспечения безопасности, критерии оценки безопасности информационных технологий, необходимый компонент доверия AVA_VAN.3 и метод анализа уязвимостей программного обеспечения, а именно – сосредоточенный анализ уязвимостей.

    Методика заключается в подготовке к проведению исследования или подготовке исследовательского стенда, проведение исследований по выявлению уязвимостей (экспертный анализ, статический анализ, динамический анализ, ручной анализ) и оформление результатов исследований.

    Добрый день!

    Какое программное обеспечение должно подвергаться анализу по ОУД4 в банке?

    И нужно ли оценивать АБС или ДБО?

    Добрый день.

    В 683-П и 382-П указано, что Организация обязана использовать программное обеспечение (далее – ПО), предоставляемое клиентам, которое используется для осуществления банковских операций (ДБО) и ПО, используемое для осуществления переводов денежных средств, а также в котором происходит процесс обработки защищаемой информации на участках, используемых для приема электронных сообщений (отдельные компоненты АБС), сертифицированное по ОУД4.

    Исходя из вышеуказанных требований можно сделать вывод, что анализу по ОУД.4 должно подвергаться ПО в функции которого входит совершение банковских операций (предоставляемое клиентам), а также ПО используемое для операции по переводу денежных средств и обработки защищаемой информации на участках, используемых для приема электронных сообщений.

    Следовательно, ответ на Ваш вопрос – да, системы ДБО и отдельные компоненты АБС, используемые для приема электронных сообщений с использованием сети интернет, должны подвергаться анализу по ОУД4 в банке.

    Как связаны между собой эти процедуры: пентест, анализ уязвимостей информационной безопасности объектов ИИ, анализ уязвимостей ПО?

    Пентест включает в себя анализ уязвимостей инфраструктуры – серверов, сетей, сайтов. В ходе пентеста производится не только выявление уязвимостей, но и их эксплуатация (разумеется, по согласованию с заказчиком). Помимо этого, в ходе пентеста могут проводиться сопутствующие работы, такие как социальная инженерия или анализ физической защищенности контролируемой зоны Заказчика.

    Исследование ПО на уязвимости по уровню ОУД4 – это отдельное требование 382-П и 683-П/684-П. Оно включает в себя анализ документации на программное обеспечение с расчетом потенциала злоумышленника, способного взломать приложение, и пентест самого приложения. То есть отличается от пентеста или анализа уязвимостей инфраструктуры составом работ и областью тестирования.

    В Положении 719-П.

    Какие есть требования и нормативные акты со стороны Банка России?

    Основные положения, которые действуют для финансовых организации по анализу уязвимости — это положения 382-П, 683-П и 684-П. По соответствию на ОУД4 — это положение 719-П.

    На кого распространяются требования по ОУД4? На какие системы?

    По положениям 382-П и 719-П распространяется на всё прикладное ПО банка (ППО АСП).

    По положениям 683-П и 684-П – распространяется на системы взаимодействия с клиентами (ДБО).

    Если дословно: Прикладного программного обеспечения системы приложения распространяемых кредитной организацией клиентам для совершения финансовых операций и серверной части, которая эти сообщения обрабатывает.

    Добрый день!

    Скажите пожалуйста, а как быть, если Банк не самостоятельно, а через подрядчика разрабатывал ПО.

    Кто должен проходить ОУД4? Чья это зона ответственности?

    Банк должен предоставить ЦБ сертификат/отчет о прохождении анализа уязвимости используемого ПО. Кто разрабатывал ПО значение не имеет.

    Без исходного кода анализ уязвимости не проводиться. Необходимо получить исходный код или требовать проведения анализа от тех, у кого он есть.

    Да, может. А разработчик может отказать.

    В случае, если разработчик не предоставляет исходный код, то банк вправе перейти к другому разработчику, который предоставит исходный код или предоставит сертификат, или проведет сам анализ уязвимости.

    В любом случае ответственность на банке.

    Вправе. Но банк вправе перейти на другого вендора. Рыночные отношения.

    Если банк лицензиат ФСТЭК, может ли банк сам проводить оценку соответствия по ОУД4?

    В п. 4.2. Положения 683-П сказано, что для анализа уязвимости в рамках 683-П требуется привлекать стороннюю организацию – лицензиата ФСТЭК. Таким образом сам себе банк не может проводить анализ уязвимости.

    В каком документе можно прочитать – что такое функционал безопасности?

    Функционал безопасности описан в ГОСТ 15408-1-2012

    Много ли проверяется функций безопасности обычно?

    Для готового программного продукта не менее четырех: идентификация, аутентификация, разграничение прав доступа, регистрация событий.

    Перечень средств включает в себя сканеры уязмиостей, анализаторы кода и средства разработки. Конкретный состав определяется архитектурой тестируемого приложения.

    Требований по ОУД4 в Положении 672-П нет.
    Хотя, если вдаваться в подробности, то АРМ КБР является той же системой ДБО со стороны ЦБ и по хорошему он должен проходить ОУД4 по тому же 684-П.

    Гарантировать уровень может только разработчик. Оценщик может его установить и подтвердить.

    Известны меры наказаний от ЦБ за несоответствие ПО ОУД4?

    Меры наказаний строго не регламентированы, но известно, что недавно ЦБ оштрафовал 17 банков за несоответствие требованиям ИБ. Какие банки, за что оштрафовали и на какие суммы – неизвестно. Среди наших клиентов таких не было. Здесь ЦБ занимает лояльную позицию и не выписывает штрафы сразу, а дает время на устранение. Отдельно отметим, что провести анализ уязвимостей за 30 дней стоит гораздо дороже, чем провести нормальный аудит за 3-4 месяца. В этом аспекте существенную роль играет не сумма штрафа, а последствия, сопутствующие наказанию. Сумма штрафа может быть и 30 000 рублей, а аудит с 1 500 000 рублей вырастет в цене до 5 000 000 рублей.

    Добрый день!
    Что будет являться конечным документом по оценке соответствия по ОУД4, для предъявления проверяющим из ЦБ?

    Конечным документом будет являться отчет об оценке. Документ так и называется “Отчет об оценке” в соответствии с ГОСТом 15408. Отчет об оценке дается и при оценке соответствия, и при проведении анализа уязвимостей.

    По ОУД4 нужно ДБО или еще и АБС?

    Если мы говорим про 683-П, то там ДБО предусмотрено однозначно, а АБС предусмотрен в том случае, если он обрабатывает клиентские платежи. По 382-П и по 719-П предусмотрены требования и к АБС, и к ДБО. Исходя из комментариев ЦБ нужно смотреть на архитектуру каждого банка. Таким образом по анализу уязвимостей ОУД4 – ДБО точно, АБС возможно, в зависимости от архитектуры.

    п.2.5 719-П “Операторы по переводу денежных средств, не указанные в абзаце первом настоящего пункта, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 131.” однозначно оуд не появляется. считается ли, что Банки теперь ОУД не смогут делать, а только сертификацию?

    В пункте 2.5 написано, что операторы по переводу денежных средств – только сертификация, но в первом разделе 719-П сказано, что оператор по переводу денежных средств обеспечивает использование ПО, в отношении которого проведена оценка соответствия ОУД4. Таким образом, если рассматривать 2.5 как конкретизацию требований, то ОУД4 банки делать не смогут, только сертификацию. Если речь идет о технической ошибке либо опечатке, то сертификация является альтернативой оценке соответствия по ОУД4 (что вполне логично и ожидаемо). Комментариев Банка России по этому поводу на данный момент нет.

    Т.е. это проблема разработчика приложения (ОУД 4), если ОУД 4 нет, не покупаем приложение?

    Наличие ОУД4 — это проблема банка, потому что проверять его придет ЦБ. И если нет ОУД4 вы либо приложение не покупаете, либо вы принимаете риск того, что ЦБ накажет за это банк.

    Банком приобретается новое мобильное приложение, когда надо проводить пентест?

    Пентест надо проводить (согласно 382-П, 683-П) ежегодно. Если мы смотрим ГОСТ 57580 там есть отдельные пункты жизненного цикла, и пентест также требуется проводить ежегодно либо при смене инфраструктуры. Но если Вами приобретается новое мобильное приложение, то оно должно пройти (на данный момент) анализ уязвимостей по ОУД4, это не пентест, но другое требование. С точки зрения Банка России, анализ уязвимостей должен быть проведен до того, как Вы запускаете приложение в эксплуатацию.

    Для работ по ОУД4 требуется привлечение внешних организаций с лицензией на ТЗКИ?

    Да, требуется привлечение внешнего лицензиата.

    Если при оценке соответствия ОУД4 были найдены некоторые уязвимости, получается что ОО не соответствует требованиям? И какой документ регламентирует, каким образом описывать найденные уязвимости

    “Наличие уязвимостей – не основание для отрицательного отчета.

    Не соответствуют требованиям ОУД4 те системы, в которых уязвимости могут быть реализованы нарушителем с потенциалом ниже, чем “”усиленный базовый””.

    Форму описания ГОСТ 15408 не регламентирует. Однако, очевидно, что для оценки уязвимости необходимо указание ее характера, места расположения (модуля, строки кода и т.п.), и обоснование расчата потенциала нарушителя.

    Для НФО, реализующих средний уровень защиты по ГОСТ оценку соответствия уровню защиты нужно проводить каждые 3 года, считая от даты подписания Положения 757-П?
    Т.е. с 20.04.2021 до 20.04.2024го?

    Согласно п.4.4., абзац второй пункта 1.7 вступает в силу с 01.07.2023 года. То есть уровень соответствия 0.85 должен быть обеспечен к этой дате.

    Подтверждение уровня соответствия возможно только с привлечением сторонней организации (п.2.3 ГОСТ 57580.2-2018).

    Таким образом, первая оценка (с результатом 0.85) должна быть проведена до указанной даты и затем повторяться один раз в три года.

    В тоже время, абзац первый пункта 1.7 требует оценку 0.7 до 30.06.2023, не регламентируя иных сроков.

    В сложившейся ситуации, и ввиду отсутствия прямых комментариев со стороны ЦБ мы рекомендуем проведение аудита в срок до 30.06.2023 года.

    Отмечу, что достижение оценки 0.85 не всегда возможно в силу недостатка средств защиты информации. Поэтому оптимально проведение предварительного аудита (GAP) заранее, а после устранения недостатков – финальной оценки. В таком случае уложиться в сроки, требуемые положением, реально и наименее затратно.

    Какое значение оценки ППО ОС в разделе 2 формы 040971 необходимо указать, если для одного направления деятельности используется различное прикладное ПО? Допускается ли дублирование строки с разными значениями оценки?

    ОУД 4 требуется только для того ПО, которое работает и совершает платежи через сеть Интернет. Если это не собственная разработка, то это ответственность поставщиков. Если собственная, то для каждого ПО необходимо проводить оценку соответствия ОУД.

    Есть ли какая-то методика для проведению самооценки ОУД 4?

    Для проведения самооценки методика не предусмотрена. Есть сами Положения и руководящие документы, объясняющие как проводится оценка соответствия ОУД 4. В частности, это тот самый ГОСТ 15408-3-2013.

    Допустимо ли использовать оценку ОУД4, проведённую поставщиком ПО?

    Допустимо, если у поставщика есть подтверждение о прохождении. Если конфигурация на испытательном стенде не отличается от Вашей конфигурации. Подтверждением является отчёт об оценке. Важно — сертификации по ОУД4 — нет.

    Возможна ли самооценка технологических мер и самоаттестация выполнения ОУД4? Ведь в явном виде требований проведения оценки этих разделов внешним аудитором в регуляторных документах нет.

    Возможна, требований о проведении оценки внешним аудитором в Положении нет.

    Производитель провел оценку соответствия по ОУД 4 ПО и направил нам соответствующее информационное письмо. Конфигурация ПО, указанная в письме, отличается от нашей. На месте мы оценку ОУД 4 не проводили. Будем ли мы в этом случае соответствовать требованиям регулятора?

    Предлагаю детально изучить влияние конфигурации на итоговые результаты оценки соответствия ОУД 4. Если нет влияния, то допустимо. Однако ОУД 4 подразумевает оценку конкретного экземпляра ПО, поэтому версия, отличающаяся от проверенной вендором, регулятора не устроит.

    Как поступают с ОУД4 вендоры, отличные от Бифита (что предоставляют, какие формулировки и т.д.) ?

    Необходимо предоставить документ, подтверждающий прохождение оценки по ОУД 4.