ОУД 4

Анализ уязвимостей прикладного ПО

В настоящее время очень актуальна проблема повышения безопасности ПО. Очевидно, что для ее решения необходимо построение процесса безопасной разработки ПО. Существует немалое количество подходов, инструментов и лучших практик. При этом для ряда организаций, чья деятельность регулируется Банком России, этот выбор сводится к заранее выбранным стандартам. В соответствии с требованиями Банка России необходимо осуществлять анализ уязвимостей в отношении прикладного ПО применительно к оценочному уровню доверия не ниже четвертого (т.е. ОУД 4), определенному в стандарте ГОСТ Р ИСО/МЭК 15408-3-2013 в п.7.6., с целью обеспечения гарантии соответствия ПО определенным заявленным критериям, чтобы, в свою очередь, его пользователи могли доверять этому ПО, прошедшему необходимые проверки и соответствующему требованиям по безопасности.

Согласно документам Банка России, существуют два варианта оценки уязвимостей:

  • Сертификация ПО в системе сертификации ФСТЭК
  • Проведение анализа уязвимостей по требованиям к ОУД 4

Важно знать

Первый подход более интересен для разработчиков «коробочного» ПО и представляет собой сертификацию конкретных версий в аккредитованных ФСТЭК лабораториях, специализирующихся на оказании данного вида услуг. Это длительный и дорогостоящий способ, однако он даёт конкурентное преимущество. Использование сертифицированного ПО снимает необходимость проводить анализ уязвимостей по ОУД 4 у организаций, проходящих оценку по требованиям Банка России.

Второй поход к оценке уязвимостей ПО более гибкий, менее затратный и может быть проведен не только аккредитованной лабораторией, но и лицензиатом ФСТЭК, имеющим соответствующие компетенции.

Требования распространяются на ПО, соответствующему хотя бы одному из условий:

  • ПО предоставляется клиентам организации
  • ПО доступно через Интернет

Анализ уязвимостей необходимо проводить при каждой смене версии ПО.

Чем мы можем быть полезны:

Проведение анализа уязвимостей по требованиям ОУД 4 (полный цикл, включая анализ исходного кода при необходимости), сопровождение при изменении версионности ПО, консалтинг (совершенствование процессов разработки).

КАК СТРОИТСЯ ПРОЕКТ

Продолжительность проекта во многом зависит от ряда параметров, уникальных в каждом конкретном случае – специфики самого ПО (функционал, архитектура, использованные языки программирования, количество строк кода), фреймворк, наличие и проработанность документации. Как правило, продолжительность проекта составляет от 2 месяцев.

Проведение анализа уязвимостей по требованиям к ОУД 4 состоит из следующего:

1

Изучение исходных данных

  1. Подготовка (запрос данных, подготовка стенда для исследования);
  2. Оценка документации (мин. состав):
    • Описание архитектуры безопасности,
    • Функциональные спецификации,
    • Руководства пользователя,
    • Представление реализации,
    • Проект объекта оценки,
    • Задание по безопасности;
  3. Оценка процедур разработки и сопровождения ПО.
2

Разработка/доработка документации (при необходимости).

3

Анализ уязвимостей в соответствии с ГОСТ Р 58143-2018 и лучшими практиками. Опционально включает в себя анализ программного кода.

4

Тестирование на проникновение (на основании уязвимостей, выявленных в рамках п. 3).

5

Подготовка отчетной документации (заключение, отчет о тестировании ПО, отчет об анализе уязвимостей).

Почему

нам доверяют:

15+ лет

опытная команда

200+ проектов

ежегодно

45+ стран

география проектов

ОСТАЛИСЬ ВОПРОСЫ?

    О КОМПАНИИ

    ООО “Кард Сек” | Москва, 2-я Хуторская ул., 38А, стр. 9
    Тел: +7 495 120 26 28 | Email: signal@cardsec.ru