ОУД 4
Анализ уязвимостей прикладного ПО
В настоящее время очень актуальна проблема повышения безопасности ПО. Очевидно, что для ее решения необходимо построение процесса безопасной разработки ПО. Существует немалое количество подходов, инструментов и лучших практик. При этом для ряда организаций, чья деятельность регулируется Банком России, этот выбор сводится к заранее выбранным стандартам. В соответствии с требованиями Банка России необходимо осуществлять анализ уязвимостей в отношении прикладного ПО применительно к оценочному уровню доверия не ниже четвертого (т.е. ОУД 4), определенному в стандарте ГОСТ Р ИСО/МЭК 15408-3-2013 в п.7.6., с целью обеспечения гарантии соответствия ПО определенным заявленным критериям, чтобы, в свою очередь, его пользователи могли доверять этому ПО, прошедшему необходимые проверки и соответствующему требованиям по безопасности.
Согласно документам Банка России, существуют два варианта оценки уязвимостей:
- Сертификация ПО в системе сертификации ФСТЭК
- Проведение анализа уязвимостей по требованиям к ОУД 4