8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Информационная безопасность » Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239)

Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239)

Мы предлагаем:

  • Различные варианты тестирования по глубине, периодичности и гибкости по исходным данным.

Вы получаете:

  • Безопасное программное обеспечения информационных и автоматизированных систем.
  • Отчет для подтверждения выполнения требований законодательства.

Почему мы:

  • Большой опыт анализа уязвимостей программного обеспечения, в том числе платежных приложений и международных компаний.
  • Более 50 проектов по аудиту исходного кода, в том числе по назначению судов.

Важно:

Игнорирование тестирования ПО влечет за собой не только возможные санкции от контролирующих органов, но и ставит под угрозу работоспособность самой системы.

Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239) - услуги RTM Group
Анализ уязвимостей ПО для ЗО КИИ (Приказ ФСТЭК №239) - от RTM Group
Узнать стоимость?
Перейти

Эксперты по анализу уязвимостей ПО для ЗО КИИ

Эксперт по анализу уязвимостей ПО для ЗО КИИ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты
Эксперт по анализу уязвимостей ПО для ЗО КИИ Перминов Геннадий Вадимович

Перминов Геннадий Вадимович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа и педагогический стаж с 2008 года

Профиль >>

Все эксперты

Кому необходимо соответствовать требованиям Приказа ФСТЭК №239

В 2017 году был опубликован Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее – КИИ).

Позже ФСТЭК России выпустил приказ от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», в котором определены технические и организационные меры по обеспечению безопасности значимых объектов КИИ.

В 2020 году приказом ФСТЭК России от 20.02.2020 № 35 в Приказ № 239 внесен, в частности, пункт 29.3.2, который предъявляет требования к испытаниям по выявлению уязвимостей в программном обеспечении значимых объектов КИИ.

Требования вступили в силу 1 января 2023 года.

Требования к испытаниям по выявлению уязвимостей в ПО, обозначенные п. 29.3.2 Приказа ФСТЭК №239

Для выполнения указанных требований необходимо провести соответствующие испытания:

  1. Статический анализ исходного кода ПО
  2. Фаззинг-тестирование ПО
  3. Динамический анализ кода ПО (для ПО, применяемого на объектах КИИ первой категории значимости)

Все эти требованиям можно выполнить, проведя анализ уязвимостей программного обеспечения.

Анализ кода программного обеспечения

Наша компания предлагает два вида проверки программного обеспечения по требованиям безопасности для выявления уязвимостей: методом «белого ящика» (если исходный код известен) и методом «черного ящика» (если нет).

Анализ уязвимостей методом «белого ящика»

При предоставлении исходного кода программы и дополнительной информации (доступной непосредственному разработчику) для анализа, можно провести максимально глубокое исследование.

  1. В рамках проекта выполняются работы по анализу стенда с приложением, а также анализ исходного кода с целью выявления уязвимостей и неоптимальных настроек безопасности.
  2. Последовательно применяется инструментальный анализ кода и экспертное исследование, чтобы выявить недостатки, обнаруженные сканером, а также области, требующие внимания, независимо от результатов автоматизированных средств.
  3. Приложение тестируется в различных режимах, включая статический код, отладку и имитацию продуктива (тестовая среда). Это сочетание методов позволяет оценить текущие актуальные векторы атак и проверить гипотезы, возникшие в процессе тестирования.

Целью проведения этой работы является выявление уязвимостей, которые могут привести к разглашению конфиденциальной информации или нарушению работы приложения.

Эксперт осуществляет следующие работы:

  • Анализ архитектуры, моделирование угроз
  • Статический и динамический анализ кода
  • Анализ механизмов хранения и передачи конфиденциальной информации
  • Анализ кода на наличие вредоносных элементов
  • Анализ API
  • Анализ конфигурационных файлов
  • Анализ криптографических протоколов
  • Обработка ошибок, полученных в процессе анализа кода
  • Фаззинг полей для ввода данных
  • Анализ возможных утечек
  • Анализ бизнес-логики приложения

В ходе анализа кода программы эксперт выявляет неполадки и дефекты, определить которые другими способами или затруднительно или невозможно.

Анализ уязвимостей методом «черного ящика»

В ситуациях, где доступен только образ приложения, без предоставления исходного кода,  также создается тестовый стенд.

В рамках этого стенда проводится анализ защищённости программного обеспечения, а также предпринимаются усилия по восстановлению исходного кода приложения для целей тестирования.

Исполнитель осуществляет следующие работы:

  • Проведение деобфускации и дизассемблирования кода
  • Анализ механизмов хранения и передачи конфиденциальной информации
  • Анализ исходного кода (в случае успешного восстановления) на наличие вредоносных элементов
  • Анализ конфигурационных файлов
  • Анализ криптографических протоколов
  • Фаззинг полей для ввода данных
  • Обработка ошибок, полученных в процессе анализа кода
  • Анализ возможной утечки информации
  • Анализ бизнес-логики приложения

Что является результатом испытаний по выявлению уязвимостей в ПО для ЗО КИИ ?

В результате работ по выявлению уязвимостей в программном обеспечении вы получаете:

  1. Безопасное программное обеспечение
  2. Отчет независимой экспертной организации, который служит подтверждением соответствия требованиям пункта 29.3.2 приказа ФСТЭК России №239

Почему RTM Group?

  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
  • Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 683-П для российских банков
  • Поддерживаем самую обширную линейку услуг в тематике тестирования на проникновение и анализа уязвимостей
  • Сроки проведения анализа уязвимостей программного продукта соответствия от 2 недель до 6 месяцев (в зависимости от сложности ПО)
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать работы по анализу уязвимостей программного обеспечения ЗО КИИ

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email: info@rtmtech.ru




Оглавление:

На кого распространяются требования Приказа ФСТЭК №239 Требования к испытаниям по выявлению уязвимостей Анализ кода программного обеспечения Что является результатом испытаний? Почему RTM Group? Заказать работы по анализу уязвимостей программного обеспечения


Видео по анализу уязвимостей ПО для ЗО КИИ

Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по анализу уязвимостей ПО для ЗО КИИ

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Анализ уязвимостей программного обеспечения

от 300 000 руб.

Испытания по выявлению уязвимостей в программном обеспечении для значимых объектов КИИ в соответствии с приказом ФСТЭК №239

от 350 000 руб.

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

821-П, 683-П, 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

Услуги для вас

Услуга Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

Категорирование и проектирование системы безопасности объектов КИИ (критической информационной инфраструктуры) – 187-ФЗ

— Подробное описание всех этапов категорирования (с примерами)
— Образцы документов по КИИ
— Какие работы необходимо выполнить после внесения в реестр КИИ?
— Для чего необходима экспертиза проведенных работ по КИИ?
Услуга Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

Работы по обеспечению безопасности значимых объектов КИИ (ЗОКИИ)

— Для чего необходимы работы по обеспечению безопасности
— Результат работ
— Основные этапы выполнения работ
— Описание этапов работ
— Начало работ и взаимодействие

Продукты и решения для вас

Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

Проекты предварительных национальных стандартов, касающихся обеспечения безопасности КИИ

ФСТЭК России предоставила предварительные проекты национальных стандартов, касающихся обеспечения безопасности КИИ.
Статья На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

На пути к независимости: Критическая информационная инфраструктура и переход на отечественное ПО

В данной статье рассмотрен новый порядок такого перехода и описаны потенциальные сложности, с которыми могут столкнуться как государственные учреждения, так и коммерческие компании.
Статья Критическая информационная инфраструктура 2024 год

Критическая информационная инфраструктура 2024 год

- Что такое критическая информационная инфраструктура?
- О чем говорит 187-ФЗ «О безопасности критической информационной инфраструктуры»?
- Что такое ГосСОПКА?
- Что такое НКЦКИ?
- Какие работы необходимо провести для обеспечения безопасности КИИ?
- Какие нормативные документы по КИИ есть в настоящий момент?
Статья Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

Категорирование объектов критической информационной инфраструктуры (КИИ). Практические примеры

— Что является «объектом КИИ», а что «субъектом»?
— Какие объекты КИИ подлежат категорированию?
— Пошаговый рабочий алгоритм категорирования объектов
— Какая информация понадобится для подачи во ФСТЭК?
— Как определиться по срокам?
— Практические примеры по конкретным отраслям и организациям

FAQ: Часто задаваемые вопросы

В течение какого срока необходимо провести анализ уязвимостей ПО для ЗО КИИ, чтобы соответствовать требованиям 239 приказа ФСТЭК?

Чтобы соответствовать 239 приказу ФСТЭК, необходимо провести анализ уязвимостей ПО,
как только у субъекта КИИ появляется категория значимости.

На какое ПО распространяются требования, прописанные в пункте 29.3.2 в 239 приказе ФСТЭК?

Требования, обозначенные в данном пункте распространяются на программное обеспечение, входящее в состав объектов КИИ — ERP, SCADA и прочее.

Чем требования Приказа №239 ФСТЭК от 25.12.2017 отличаются от Указа Президента РФ №250 от 1 мая 2022 г.?

239 Приказ ФСТЭК детализирует требования по защите объектов КИИ (систем), а Указ Президента №250 направлен на субъекта КИИ (организацию в целом).

Что будет, если не провести анализ уязвимостей ПО значимых объектов КИИ?

Невыполнение требований влечет за собой наложение административного штрафа до 500к рублей и требование об устранении недостатка в короткие сроки.

В случае, если с не тестированным ПО произойдет инцидент, возможна уголовная ответственность по статье 274.1