#АУДИТ ПОЛОЖЕНИЙ ЦБ РФ

Положения Банка России № 382-П (в редакции Указания Банка России №4793-У), № 683-П, №382-П, №719-П, №747-П предназначены для оценки защищённости организации в финансовой сфере.

Основные работы, проводимые для оценки соответствия финансовой организации упомянутым положениям включают в себя:

  • оценку соответствия организации требованиям государственных стандартов ГОСТ Р 57580.1-2017;

  • проведение тестирования на проникновение;

  • оценку программных комплексов участвующих в обработке информации, на соответствие требованиями оценочного уровня доверия 4 (далее – ОУД 4).

Данные требования означают, что анализ угроз и уязвимостей информационной безопасности, а также их оценка, является крайне важным элементом функционирования финансовой организации.

Центр КиберБезопасности проводит оценку организации на соответствия положениям Банка России. Оценка соответствия требованиям стандарта ГОСТ Р 57580.1-2017 позволяет понять, насколько ИТ-инфраструктура и процессы ИБ компании соответствуют обязательному уровню безопасности, установленному Банком России.
Так же Центр КиберБезопасности предлагает услугу оценки на соответствие ГОСТ Р 57580.1-2018.

В данную услугу входит анализ и оценка уязвимостей ПО (к примеру, анализ уязвимостей веб-приложений), их выявление, внешнее и внутреннее тестирование на проникновение (пентест/pentest), а также тестирование сетей финансовой организации с целью обнаружения уязвимостей. Тестирование на проникновение позволяет найти брешь в безопасности ПО, используемого в вашей организации. Наши специалисты так же готовы произвести анализ кода на уязвимости.

Положением Банка России №382-П,№-683-П, №-684-П предусмотрено обязательное проведение анализа уявзвимостей прикладного ПО (программное обеспечение) автоматизированных систем (АС) и приложений кредитных и некридитных финансовых организаций. Анализ уязвимостей проводится по требованиям к оценочному уровню доверия не ниже ОУД 4.

Анализ уязвимостей проводится по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 (Усиленный) в соответствии с требованиями национального стандарта Российской Федерации. Отчёт по анализу уязвимостей включает в себя:

  • описание, предоставленного на исследование, программного обеспечения;

  • описание хода исследования (процесса) выявления уязвимостей;

  • методики и методы выявления уязвимостей;

  • продукты и решения по анализу кода и анализу уязвимостей ПО, которые использовались при проведении исследования;

  • список выявленных уязвимостей и дефектов программного продукта;

  • описание выявленных уязвимостей и оценка их критичности;

  • меры, которые необходимо предпринять для устранения выявленных уязвимостей;

  • рекомендации по дальнейшим действиям.

Для чего проводится ОУД 4

Для анализа прикладного программного обеспечения АС и приложений, распространяемых клиентам для совершения финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС с использованием сети Интернет.

Этапы работ:

  • анализ полного исходного кода банковского приложения;

  • поиск в открытых источниках известных уязвимостей;

  • анализ документации на ПО;

  • оценка возможности эксплуатации уязвимостей;

  • подготовка отчета об уязвимостях по ОУД 4.

На анализ ПО подается (в электронном виде):

  • инсталляционная версия программного обеспечения;

  • полный исходный код программного обеспечения;

  • программные утилиты, используемые для компиляции программного обеспечения из исходных текстов программных модулей.

На анализ документации подается (в электронном или печатном виде):

  • основные сведения о ПО;

  • проектная документация;

  • эксплуатационная документация;

  • дополнительная документация, содержащая сведения о ПО;

  • документация по безопасной разработке.

Цены на услуги, описанные выше, предоставляются по запросу. Возможен заказ проведения пентеста, как отдельной услуги, цена, предоставляется по запросу и зависит от масштаба ИТ-инфраструктуры.