#АУДИТ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
Анализ угроз и уязвимостей информационной безопасности, а также их оценка и аудит, являются крайне важными элементами функционирования финансовой организации.
Для оценки защищённости финансовых организаций применяются:
положение Банка России №683-П;
положение Банка России №719-П (пришел на замену Положения №382-П);
положение Банка России №747-П;
положение Банка России №757-П (пришел на замену Положения №684-П);
приказ Министерства цифрового развития, связи и массовых коммуникаций РФ №930 (пришел на замену 321 Приказу Минкомсвязи) для организаций осуществляющих сбор биометрических персональных данных;
«Концепции обеспечения безопасности пользователей SWIFT: Программа безопасности пользователей».
Основные работы, проводимые для оценки соответствия требованиям законодательства, включают в себя:
оценку соответствия организации требованиям государственного стандарта ГОСТ Р 57580.1-2017;
оценку соответствия организации требованиям государственного стандарта ГОСТ Р 57580.2-2018;
оценку выполнения требований SWIFT;
оценку программных комплексов участвующих в обработке информации, на соответствие требованиями оценочного уровня доверия 4 (далее – ОУД 4).
Центр КиберБезопасности проводит оценку организаций на соответствие положениям Банка России,
требованиям SWIFT и оценку уровня доверия программного обеспечения для осуществления банковских
операций.
Оценка соответствия требованиям стандарта ГОСТ Р 57580.1-2017 позволяет понять, насколько
ИТ-инфраструктура и обеспечение информационной безопасности компании соответствуют уровню
безопасности, установленному Центральным Банком Российской Федерации.
Также Центр КиберБезопасности оказывает услуги по оценке соответствия ГОСТ Р 57580.2-2018.
В данную услугу входит анализ, оценка и выявление уязвимостей ПО (например, анализ уязвимостей
веб-приложений) и вычислительных сетей финансовой организации, а также внешнее и внутреннее
тестирование на проникновение (пентест/pentest). Тестирование на проникновение позволяет найти
брешь в безопасности ПО, используемого в вашей организации. Наши специалисты также готовы
произвести анализ кода на уязвимости.
Положениями Банка России №683-П, №719-П, №747-П, №757-П предусмотрено обязательное проведение
анализа уязвимостей прикладного ПО автоматизированных систем и приложений кредитных и
некредитных финансовых организаций. Анализ уязвимостей проводится по требованиям к оценочному
уровню доверия не ниже ОУД 4.
Основные этапы работ для соответствия требованиям к оценочному уровню доверия не ниже ОУД 4:
анализ полного исходного кода банковского приложения;
поиск в открытых источниках известных уязвимостей;
анализ документации на ПО;
оценка возможности эксплуатации уязвимостей;
подготовка отчета об уязвимостях по ОУД 4.
На анализ ПО подается (в электронном виде):
инсталляционная версия программного обеспечения;
полный исходный код программного обеспечения;
программные утилиты, используемые для компиляции программного обеспечения из исходных текстов программных модулей.
На анализ документации подается (в электронном или печатном виде):
основные сведения о ПО;
проектная документация;
эксплуатационная документация;
дополнительная документация, содержащая сведения о ПО;
документация по безопасной разработке.
Цены на услуги, описанные выше, предоставляются по запросу. Возможен заказ каждого вида работ, как отдельной услуги, цена, предоставляется по запросу и зависит от масштаба ИТ-инфраструктуры.