8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Проведение анализа уязвимостей программного обеспечения по требованиям к оценочному уровню доверия (ОУД) по требованиям ЦБ РФ

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Проведение анализа уязвимостей программного обеспечения по требованиям к оценочному уровню доверия (ОУД) по требованиям ЦБ РФ
      22 апреля 2020
      // ОУД
      Некредитные финансовые организации, реализующие усиленный и стандартные уровни защиты, и кредитные финансовые организации (без учета уровня) обязаны для ряда программного обеспечения проводить анализ уязвимостей по требованию к оценочному уровню доверия не ниже, чем ОУД 4 либо провести сертификацию данного программного обеспечения.

      Получить консультацию

      Анализ уязвимостей по требованиям ОУД 4

      Программное обеспечение, для которого требуется проведение анализа уязвимостей по требованиям ОУД 4:

      • прикладное программное обеспечения автоматизированных систем (АС) и приложений, распространяемых клиентам для совершения финансовых операций;
      • программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС с использованием Интернет.
      Необходимость выполнения данных требований описаны в п.4 Положения Центрального банка № 683-п для кредитных финансовых организаций и в п.9 Положения Центробанка № 684-п для некредитных финансовых организаций.

      1 января 2020 год – установленный срок выполнения требований для проведения анализа уязвимостей по требованию к оценочному уровню доверия (Положения № 683-п, № 684-п).

      Несмотря на то, что ЦБ в своем письме № ИН-014-56/105 от 31 декабря 2019 г. сообщает о том, что считает целесообразным применять к кредитным организациям меры за несоблюдение указанных требований только с 1 июля 2020 года, времени на реализацию данного требования с учетом намерений ЦБ крайне мало.

      Почему анализ уязвимостей, а не сертификация?

      Хотя Положения ЦБ позволяют финансовым организациям выбрать один из двух вариантов реализации данного требования:

      1) сертификация в системе ФСТЭК;

      2) проведение анализа по требованиям к оценочному уровню доверия (не ниже ОДУ-4).

      Проходить сертификацию в системе ФСТЭК нецелесообразно, так как:

      • требования при сертификации ФСТЭК к ПО более высокие чем ОУД-4;
      • ФСТЭК в 2019 году поменял систему сертификации, и описанная в документах ЦБ система юридически не соответствует текущей;
      • сертификацию могут проводить лишь испытательные лаборатории, их количество на рынке РФ ограничены. По нашей информации, данные лаборатории в настоящий момент очень загружены, поэтому работу по сертификации могут затянуться не на один месяц.

      Что необходимо для проведения анализа уязвимостей по требованиям ОУД

      При проведении анализа уязвимостей по требованиям ОУД нашим специалистам необходим следующий пакет документов и программных компонент:

      • инсталляционная версия программного обеспечения;
      • исходный код программного обеспечения;
      • программные утилиты, используемые для компиляции программного обеспечения из исходных текстов программных модулей;
      • сведения о программном обеспечении;
      • тестовая документация;
      • проектная документация;
      • эксплуатационная документация;
      • дополнительная документация, содержащая сведения о ПО;
      • документация по безопасной разработке.
      Перед началом работ по анализу уязвимости необходимо обратить внимание на следующие особенности проведения работ:

      1. Общий вердикт по анализу уязвимостей «положительный» тогда и только тогда, когда все составляющие вердикта положительные.

      Т. е. данное нормативные документы не предусматривают вариативность либо необходимость набора определенного количества балов, как это предполагает ГОСТ 57580. Для успешного прохождения анализа уязвимостей по требованиям ОУД необходимо выполнить все требования без исключения.

      2. Отсутствие полного комплекта документов на программное обеспечение.

      Комплект документов на программное обеспечение достаточно обширный, а комплект нормативной документации, на базе которой необходимо его разработать не меньше. И это представляет одну из самых больших проблем при прохождении анализа уязвимостей, т. к. в большинстве случаев финансовые организации имеют для своих программных продуктов лишь руководства администратора и пользователя и этого явно недостаточно.

      Хотелось бы обратить Ваше внимание на тот факт, что значительную часть сведений, необходимых для формирования финальных документов, должен представить разработчик программного обеспечения. Это связано с тем, что для выполнения требований семейства национальных стандартов ГОСТ Р 15408 при разработке документов необходимо погрузиться в архитектуру и реализацию программного продукта на достаточно глубокий уровень.

      А объем сведений, которых необходимо запросить у Разработчика, достаточно значительный, что не позволяет в принципе выполнять подобные работы «под ключ». По этой причине мы не видим другого варианта взаимодействия по разработке документов для ОУД, кроме как разработки проектов данных документов.

      Полный перечень комплекта документов для разработки и нормативных документов, которые нужно учесть при разработке представлен ниже.

      3. Отсутствует документация по безопасной разработке.

      Для успешного прохождения анализа уязвимостей по требованиям ОУД необходимо также задокументировать процесс безопасной разработки на стороне разработчика программного обеспечения. И это может быть проблемой, когда финансовая организация и разработчик ПО разные юридические лица.

      Необходимо провести анализ уязвимостей программного обеспечения по требованиям к оценочному уровню доверия (ОУД)? Отправьте запрос и мы свяжемся с вами в течении одного рабочего дня!
      Отправить запрос

      Ответы на часто задаваемые вопросы.

      1. Какие документы необходимы для успешного прохождения ОУД?
      Документация на программное обеспечение:
      ‐ Описание объекта оценки;
      ‐ Руководство пользователя;
      ‐ Руководство администратора;
      ‐ Задание по безопасности;
      ‐ Формуляр;
      ‐ Технические условия;
      ‐ Регламент передачи ПО пользователю;
      ‐ Регламент отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы;
      ‐ Регламент приема и обработки сообщений от пользователей об ошибках ПО и уязвимостях программы;
      ‐ Регламента доведения до пользователей информации об уязвимости программы и рекомендаций по их устранению;
      ‐ Регламент управления конфигурацией;
      ‐ Регламент регистрации событий изменений конфигурации ПО;
      ‐ Регламент экстренного выпуска обновлений ПО;
      ‐ Регламент маркировки версий ПО;
      ‐ Журнала регистрации изменений конфигурации ПО;
      ‐ Журнал ошибок и уязвимостей программы;
      ‐ Регламент поддержки жизненного цикла;
      ‐ Описание архитектуры безопасности;
      ‐ Функциональная спецификация;
      ‐ Регламент и протоколы тестирования программы;
      ‐ Регламент и протоколы экспертизы исходного кода программы;
      ‐ Регламент и протоколы тестирования на проникновение;
      ‐ Регламент, протоколы, журналы поиска уязвимостей программы;
      ‐ Отчет по анализу уязвимостей и тестированию на проникновение;

      Документация по реализации процесса безопасной разработки:
      ‐ Руководство по разработке безопасного ПО;
      ‐ Перечень инструментальных средств разработки ПО;
      ‐ Порядок оформления исходного кода программы;
      ‐ Регламент защиты инфраструктуры среды разработки ПО;
      ‐ Программа обучения сотрудников в области разработки безопасного ПО;
      ‐ Журнал обучения сотрудников в области разработки безопасного ПО.
      2. Какие требования нужно учесть при разработке документов для ПО?
      Ниже представлены стандарты, в соответствии с которыми необходимо разработать всю документацию на программный продукт и процесс безопасной разработки. К этому списку может добавиться проект профиля защиты ЦБ, который в настоящий момент еще не утвержден ЦБ. Так же еще 3-5 нормативных документов в зависимости от специфики реализации программного обеспечения:
      ‐ ГОСТ ИСО/МЭК 15408: Общие критерии;
      ‐ ГОСТ ИСО/МЭК 15408-1: Введение и общая модель;
      ‐ ГОСТ ИСО/МЭК 15408-2: Функциональные компоненты безопасности;
      ‐ ГОСТ ИСО/МЭК 15408-3: Компоненты доверия к безопасности;
      ‐ ГОСТ ИСО/МЭК 18045: Методология оценки;
      ‐ ГОСТ Р 58142: Использование источников для идентификации уязвимостей;
      ‐ ГОСТ Р 56545: Правила описания уязвимостей;
      ‐ ГОСТ Р 56546: Классификация уязвимостей;
      ‐ ГОСТ Р 58143: Тестирование проникновения;
      ‐ ГОСТ ИСО/МЭК ТО 20004: Уточнённый анализ уязвимости программного обеспечения;
      ‐ ГОСТ Р 57628-2017: Руководство по разработке профилей защиты и заданий по безопасности;
      ‐ ГОСТ Р 56939-2016: Защита информации. Разработка безопасного программного обеспечения. Общие требования;
      ‐ ГОСТ Р 58412-2019: Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения;
      ‐ ГОСТ 19.501-78: Единая система программной документации (ЕСПД). Формуляр. Требования к содержанию и оформлению;
      ‐ ГОСТ 2.114-2016: «Единая система конструкторской документации (ЕСКД). Технические условия»;
      ‐ ГОСТ Р 56920-2016/ISO/IEC/IEEE 29119-1:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 1. Понятия и определения;
      ‐ ГОСТ Р 56921-2016/ISO/IEC/IEEE 29119-2:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 2. Процессы тестирования;
      ‐ ГОСТ Р 56922-2016/ISO/IEC/IEEE 29119-3:2013: Системная и программная инженерия. Тестирование программного обеспечения. Часть 3. Документация тестирования;
      ‐ ГОСТ Р ИСО 10007: Менеджмент организации. Руководящие указания по управлению конфигурацией;
      ‐ ГОСТ Р ИСО/МЭК 12207: Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
      3. Банк использует ПО стороннего разработчика. Кто должен проводить анализ уязвимости по ОУД банк или разработчик?
      Требование Центробанка о необходимости проведения анализа уязвимостей по требованиям к уровням доверия либо сертификации данного ПО предъявляется непосредственно к финансовым организациям. Если разработчик, с которым заключен договор на разработку и сопровождение программного обеспечения, не готов:
           • передать исходные коды программного продукта;
           • реализовать у себя и задокументировать процесс безопасной разработки (см. выше);
           • разработать документацию на программное обеспечение;
           • исправлять выявленные уязвимости в документации и исходном коде;
      то успешно пройти анализ уязвимости программного обеспечения у банка не получится, а Центробанк будет спрашивать именно с банка, как с финансовой организации, использующей ПО, которая должна выполнять требования законодательства.

      В такой ситуации возможны 2 пути:
          1) договориться с разработчиком о предоставлении необходимой документации и информации;
          2) предложить разработчику банковского ПО от своего лица провести анализ уязвимостей к оценочному уровню доверия.

      В противном случае использование банковского ПО, не прошедшего анализ уязвимостей к оценочному уровню доверия (ОУД) является прямым нарушение требований Банка России со всеми вытекающими последствиями.

      Ситуация «патовая» и, к сожалению, на данный момент других решений нет. Наши специалисты непрерывно отслеживают все активности регуляторов в этой области, изучают опыт банков и других финансовых организаций, а также опыт разработчиков по решению вопросов, связанных требованиями Центробанка по выполнению Положений № 683-п для кредитных финансовых организаций и № 684-п для некредитных финансовых организаций.

      Остались еще вопросы? Нужна консультация? Мы всегда готовы помочь!
      Спросить


      Новости
      Практический подход к организации информационной безопасности в кредитных организациях
      6 мая 2020
      Практический подход к организации информационной безопасности в кредитных организациях
      «Противодействие современным угрозам безопасности. Необходимый минимум». Вебинар Ассоциации Российских банков по кибербезопасности.
      21 апреля 2020
      «Противодействие современным угрозам безопасности. Необходимый минимум». Вебинар Ассоциации Российских банков по кибербезопасности.
      ЦБ начинает штрафовать банки за нарушения информационной безопасности
      10 апреля 2020
      ЦБ начинает штрафовать банки за нарушения информационной безопасности

      Услуги
      Оценка и приведение к требованиям по Положению 684-П для НФО
      Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
      Положение № 684-П является ключевым элементом регулирования информационной безопасности и защиты информации в некредитных финансовых организациях со стороны Центрального банка (ЦБ). Положение 684-П устанавливает обязательные к выполнению требования к защите информации для НФО.

      Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
      Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П

      Выполнение требований Положения №683-П, №672-П ЦБ РФ и других требований регуляторов в области информационной безопасности для финансовых организаций.


      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ (часть 2)?
        9 марта 2022
      • ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ?
        3 февраля 2022
      Подписывайтесь на новости и акции:
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.