#ОУД 4

Положением Банка России №382-П,№-683-П, №-684-П предусмотрено обязательное проведение анализа уявзвимостей прикладного ПО (программное обеспечение) автоматизированных систем (АС) и приложений кредитных и некридитных финансовых организаций. Анализ уязвимостей проводится по требованиям к оценочному уровню доверия не ниже ОУД 4.

Для чего проводится ОУД 4

Для анализа прикладного программного обеспечения АС и приложений, распространяемых клиентам для совершения финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в АС с использованием сети Интернет.

Этапы работ:

  • анализ полного исходного кода банковского приложения;

  • поиск в открытых источниках известных уязвимостей;

  • анализ документации на ПО;

  • оценка возможности эксплуатации уязвимостей;

  • подготовка отчета об уязвимостях по ОУД 4.

На анализ ПО подается (в электронном виде):

  • инсталляционная версия программного обеспечения;

  • полный исходный код программного обеспечения;

  • программные утилиты, используемые для компиляции программного обеспечения из исходных текстов программных модулей.

На анализ документации подается (в электронном или печатном виде):

  • основные сведения о ПО;

  • проектная документация;

  • эксплуатационная документация;

  • дополнительная документация, содержащая сведения о ПО;

  • документация по безопасной разработке.