8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ (часть 2)?

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ (часть 2)?
      9 марта 2022
      // ОУД

      Это вторая статья из цикла, посвященного аудиту программного обеспечения финансовых организаций. Ранее мы писали о появившейся у участников финансовой индустрии РФ обязанности такой аудит проводить, рассматривали допустимые варианты аудита и показывали спорные моменты в нормативной базе, используемые некоторыми подрядчиками для снижения своих издержек и предоставления клиентам услуг, не в полной мере соответствующих фактическим требованиям ЦБ.

      Получить консультацию
      • ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ (часть 2)?

        Это вторая статья из цикла, посвященного аудиту программного обеспечения финансовых организаций. Ранее мы писали о появившейся у участников финансовой индустрии РФ обязанности такой аудит проводить, рассматривали допустимые варианты аудита и показывали спорные моменты в нормативной базе, используемые некоторыми подрядчиками для снижения своих издержек и предоставления клиентам услуг, не в полной мере соответствующих фактическим требованиям ЦБ.

        Важно, что такие подрядчики оставляют своих клиентов в полном неведении, что они сделали что-то не так, приобрели что-то не то. Это создает дополнительные риски, связанные и с предстоящими проверками ЦБ, и с различными аспектами безопасности оцениваемого ПО. Потребитель должен обладать исчерпывающей информацией об оказываемой услуге, чтобы ее можно было соотнести как с выбранной стратегией поведения на рынке, так и со стратегией взаимодействия с регулятором. Возможно, ваш выбор – ультимативная безопасность, непробиваемая защита от всех возможных угроз, и на этом факте построен ваш бренд. Или, быть может, вы стремитесь расходовать ресурсы экономно и целенаправленно ищете способы снизить затраты. Как бы то ни было, взаимодействие с исполнителем должно быть максимально прозрачным, чтобы все решения вы могли принять взвешенно и самостоятельно. Об этом далее.

        Выбору контрагента, как правило, предшествует поиск и анализ различных коммерческих предложений. Именно в этом документе потенциальный партнер описывает предлагаемую услугу, показывает получателю возможности и выгоды от ее приобретения. На что конкретно следует обращать внимание в коммерческих предложениях при поиске исполнителя для данного вида работ?

        Во-первых, нужно ответить на вопрос, чего именно вы хотите: просто «бумажно» закрыть требования регулятора или на самом деле улучшить безопасность своего продукта. В каждом из этих случаев подходы будут сильно различаться.

        Если вас интересует первый вариант ответа, исполнитель должен постараться использовать уже имеющиеся у вас материалы, чтобы исключить дублирование работ, проведенных ранее другими лицензиатами. Такой подход позволит существенно сократить сроки и стоимость услуги.

        После проведения предварительных переговоров и определения решаемой проблемы технико-коммерческое предложение в таком случае может включать следующие пункты:

        • если в недавнем прошлом вы проводили пентест или какой-либо другой вариант аудита, и его выполнял подрядчик с соответствующей лицензией, то такие результаты могут быть использованы при проведении оценки. Они могут являться веским аргументом для вынесения положительного заключения по соответствующим компонентам ПО (с учетом оговорки, что с момента получения результатов не вносились серьезные изменения в подсистемы защиты ПО);
        • если в составе вашего ПО есть компоненты, обладающие собственными действующими сертификатами соответствия, оформленными надлежащим образом и выданными уполномоченным органом, то они могут являться основанием для автоматического вынесения положительного заключения по данному компоненту;
        • если у вас имеется действующий тестовый стенд, на котором функционирует оцениваемое ПО, и вы готовы предоставить оценщикам доступ к нему, то это радикально снизит сроки проведения работ. В противном случае исполнитель будет должен подготовить свой собственный стенд, и этот процесс может затянуться из-за множества непредсказуемых проблем;
        • задание по безопасности – это самый важный документ, необходимый для проведения оценки. Именно в нем перечислены все функции безопасности, которые должны быть реализованы в вашем ПО. На содержании этого документа исполнитель будет основывать всю свою работу. Задание можно писать не с нуля, для этого можно использовать унифицированный шаблон, который называется профилем защиты. ЦБ РФ постарался подготовить такой шаблон для финансовых организаций, но результат получился спорным: шаблон вышел чрезмерным и избыточным. Однако он имеет рекомендуемый статус, а не обязательный. Это огромный плюс, поскольку вы можете разработать собственное задание по безопасности (или исполнитель может подготовить его для вас), опираясь на рекомендуемый профиль частично или не опираясь на него совсем, при этом не противореча ему. Набор функций безопасности в таком случае может быть обоснованно сокращен и адаптирован, чтобы сделать его коммерчески целесообразным именно для вашего бизнеса. Этот шаг радикально снижает сроки и стоимость оценки.
        • еще один важный момент, касающийся задания по безопасности, который целесообразно вынести отдельно, как самостоятельный пункт: сократить объем работ по оценке можно, грамотно сформулировав понятие среды функционирования оцениваемого ПО. Выделив некоторые статичные, редко меняющиеся компоненты ПО и определив их в качестве элементов среды функционирования, можно вполне легально исключить их из рассмотрения в рамках конкретной оценки.

        Это самые очевидные способы оптимизации затрат. Чуть более сложные методы связаны с вашим непосредственным персоналом и его уровнем компетенций.

        Поскольку анализ документации и поиск необходимой информации – краеугольный камень всей оценки, снижение временных затрат на этом шаге радикально снижает сроки для всей услуги в целом. Если у вас в штате есть специалисты, способные оперативно взаимодействовать с оценщиком, отвечать на возникающие у него вопросы, исполнитель обязан предложить вам такую опцию, поскольку оценку в таких условиях можно провести в кратчайшие сроки. А если у вас еще и свободный технический писатель найдется, то… зачем вам вообще нужен внешний исполнитель? :)

        Как видите, среди перечисленных пунктов отсутствует возможность просто исключить из процесса оценки компоненты доверия ОУД4 в целях экономии ресурсов и снижения затрат. Текущая официальная позиция ЦБ РФ не допускает выполнения лишь избранных шагов оценивания из методологии оценки. О чем мы подробно писали в предыдущей статье (+ здесь должна быть ссылка на первую опубликованную статью).

        Таким образом, в технико-коммерческом предложении не должно быть написано, что исполнитель сделает для вас «анализ уязвимостей, путем исполнения лишь компонента AVA_VAN и его зависимостей». Это спекуляция, основанная на устаревших формулировках нормативных актов. Попытка переубедить вас в обратном будет означать, что вам пытаются продать некачественный товар.

        Хороший контрагент выполнит для вас оценку целиком, включит в нее все требуемые компоненты доверия и пройдет все необходимые шаги. Но если в первую очередь вас интересует экономия, исполнитель постарается сделать каждый шаг как можно менее затратным, непременно предупредив вас об этом, согласовав все нюансы. Вы должны знать обо всех «подводных камнях».

        Вернемся к вопросу из начала статьи и двум вариантам ответа на него. Мы рассмотрели варианты оптимизации в случае «бумажной» защиты. Но что, если вы заинтересованы в реальной безопасности?

        В этом случае компромиссы недопустимы.

        В случае реальной безопасности оценщик должен пройти весь путь, каждый его шаг, не делая никаких скидок и допущений.

        В таком случае не следует слепо опираться на результаты предыдущих пентестов и аудитов, поскольку полученные в них итоги весьма недолговечны. Буквально после официального завершения пентеста какой-нибудь из ваших сотрудников может задеплоить на продуктивный контур ошибочную конфигурацию какого-либо компонента, позволяющую получить административные права, используя стандартные учетные данные – и все… Кроме того, есть вопрос, касающийся уверенности в подрядчике, который проводил данные работы. Насколько он был компетентен? Вполне возможно, что в процессе упустили что-то важное. Наконец, нельзя не сказать, что в принципе не бывает двух одинаковых пентестов, и каждый результат зависит от множества непостоянных факторов.

        Абсолютно то же можно сказать и о сертифицированном ПО. Система сертификации настолько архаична, бюрократизирована и неповоротлива, что процесс этот для одной конкретной версии продукта может тянуться месяцами, если не годами. И получение сертификата соответствия в такой системе не гарантирует вам никакой безопасности в реальном мире современных информационных технологий.

        А что можно сказать о вашем тестовом стенде, действующем на вашей же инфраструктуре? Если оценщик не участвовал самостоятельно в его подготовке, не настраивал и не отлаживал его, какие могут быть гарантии, что это вообще возможно? Отражены ли в вашей эксплуатационной документации все необходимые инструкции? Задокументированы ли все нюансы, которые надо учитывать при настройке продукта с самого нуля? Сохранены ли у вас все необходимые дистрибутивы? Может быть, все эти данные хранятся только в голове одного вашего конкретного сотрудника, поступающего так целенаправленно? В случае чрезвычайной ситуации при необходимости выполнить настройку продукта с нуля сделать это сможет только этот сотрудник. Вы готовы сделать свой бизнес зависимым от этого человека?

        Наконец, рекомендуемый профиль ЦБ. Да, он большой и сложный. Да, ему трудно соответствовать. Но в нем нет случайных вещей. Каждый включенный в него аспект связан с реальным инцидентом из реальной жизни. Каждый содержащийся в нем компонент делает ваш продукт безопаснее и непробиваемее. Прежде чем выбрасывать из него что-либо, следует взвесить все за и против, оценить риски.

        Что можно сказать в итоге? Какой бы вариант ответа вы для себя ни выбрали, мы со своей стороны готовы предложить вам свои лучшие компетенции для его реализации.

        На этом о коммерческих предложениях все. А в следующей статье рассмотрим наиболее распространенные проблемы, с которыми нам приходится сталкиваться в процессе оценки отечественного финансового ПО.




      Услуги
      Аудит информационной безопасности
      Аудит информационной безопасности
      Аудит информационной безопасности — это процесс получения объективных оценок о текущем состоянии защищенности информационных ресурсов компании в соответствии с российскими и международными нормативами. В рамках данного мероприятия проводится комплекс работ по определению уязвимостей IT инфраструктуры, анализ защищенности веб приложений и предотвращению потенциальных кабератак.

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • ОУД: как не купить услуги, которые не соответствуют требованиям ЦБ?
        3 февраля 2022
      • Проведение анализа уязвимостей программного обеспечения по требованиям к оценочному уровню доверия (ОУД) по требованиям ЦБ РФ
        22 апреля 2020
      Подписывайтесь на новости и акции:
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.