Мы используем cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.
OK
В соответствии с Положениями Банка России № 719-П, № 757-П, № 683-П финансовые организации должны проводить оценку соответствия требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013.
Кому необходимо?
Данное требование распространяется на организации, работающие в регуляторном поле Банка России:
- операторы по переводу денежных средств
- банковские платежные агенты (субагенты),
- операторы услуг информационного обмена,
- операторы услуг платежной инфраструктуры в части требований к обеспечению защиты информации при осуществлении переводов денежных средств
- некредитные финансовые организации, такие как:
- специализированные депозитарии инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
- организаторы торговли;
- страховые организации;
- негосударственные пенсионные фонды, осуществляющие деятельность по обязательному пенсионному страхованию;
- брокеры, дилеры, управляющие, депозитарии и регистраторы;
- и другие.
Оценка соответствия ОУД 4 или сертификация ФСТЭК России?
Оба подхода имеют существенные отличия. В первую очередь на него должен ответить сам заказчик.
Сертификация предполагает долгий процесс испытаний программного обеспечения. У сертифицированных в системе ФСТЭК России продуктов есть особенности, делающие их применение крайне затруднительным. Каждый файл, входящий в сертифицированную сборку, имеет строго определенную контрольную сумму, закрепленную в документах.
Кроме того, программа может иметь ограничения, касающиеся настроек и возможностей. Проще говоря, сертифицированную версию невозможно обновить или перенастроить просто так, когда у вас возникнет необходимость. Как только какой-либо файл изменится, и его контрольная сумма будет расходиться с тем, что указано в формуляре, как только будет активирована или изменена какая-либо функция, закрепленная в документах – сертификация будет утеряна. Необходимо проходить инспекционный контроль, что тоже отнимает определенное количество времени.
Сертификацию обычно выполняют для хорошо отлаженных продуктов, которые не планируют менять.
Оценка соответствия по ОУД выглядит более подходящей для продуктов с гибкими методологиями разработки, распространенными в ФинТехе. Существенный объем изменений накапливается в течение длительного времени. Другими словами, промежуток между оценками по требованиям к ОУД может быть значительным.
Сертификация предполагает долгий процесс испытаний программного обеспечения. У сертифицированных в системе ФСТЭК России продуктов есть особенности, делающие их применение крайне затруднительным. Каждый файл, входящий в сертифицированную сборку, имеет строго определенную контрольную сумму, закрепленную в документах.
Кроме того, программа может иметь ограничения, касающиеся настроек и возможностей. Проще говоря, сертифицированную версию невозможно обновить или перенастроить просто так, когда у вас возникнет необходимость. Как только какой-либо файл изменится, и его контрольная сумма будет расходиться с тем, что указано в формуляре, как только будет активирована или изменена какая-либо функция, закрепленная в документах – сертификация будет утеряна. Необходимо проходить инспекционный контроль, что тоже отнимает определенное количество времени.
Сертификацию обычно выполняют для хорошо отлаженных продуктов, которые не планируют менять.
Оценка соответствия по ОУД выглядит более подходящей для продуктов с гибкими методологиями разработки, распространенными в ФинТехе. Существенный объем изменений накапливается в течение длительного времени. Другими словами, промежуток между оценками по требованиям к ОУД может быть значительным.
А есть еще варианты?
Банк России внес изменения в документ: «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций».
В данном документе появился новый раздел: «7.4. Безопасный жизненный цикл ОО. Требования к гибкой безопасной разработке и тестированию ОО»
Требования данного раздела сформированы таким образом, что их выполнение должно обеспечить покрытие необходимых и достаточных требований доверия к безопасности ОО (ОУД 4).
Но есть ряд ограничений, когда данный раздел неприменим. Необходимо выполнение нескольких условий:
Если все условия выполняются, то вместо оценки соответствия ОУД 4 можно выполнить оценку соответствия по требованиям Профиля защиты ЦБ РФ.
Напомним, что сам Профиль защиты не является обязательным к исполнению и носит рекомендательный характер, но если оценка соответствия проводится в рамках этого документа, то требования должны выполняться и имеют юридическую силу.
В данном документе появился новый раздел: «7.4. Безопасный жизненный цикл ОО. Требования к гибкой безопасной разработке и тестированию ОО»
Требования данного раздела сформированы таким образом, что их выполнение должно обеспечить покрытие необходимых и достаточных требований доверия к безопасности ОО (ОУД 4).
Но есть ряд ограничений, когда данный раздел неприменим. Необходимо выполнение нескольких условий:
- ОО не должен использоваться в составе значимых объектов КИИ;
- Документированный процесс разработки, тестирования и эксплуатации включая описания реализуемых мер, контролей (security controls) и проверок по обеспечению информационной безопасности;
- Разработчик должен иметь документированный процесс управления версиями и изменениями программного обеспечения
- Инфраструктура Разработчика должна удовлетворять требованиям ГОСТ Р 57580.1-2017 и для нее должна быть проведена оценка соответствия по ГОСТ 57580.2-2018.
Если все условия выполняются, то вместо оценки соответствия ОУД 4 можно выполнить оценку соответствия по требованиям Профиля защиты ЦБ РФ.
Напомним, что сам Профиль защиты не является обязательным к исполнению и носит рекомендательный характер, но если оценка соответствия проводится в рамках этого документа, то требования должны выполняться и имеют юридическую силу.
Что мы сделаем?
Ознакомимся с объектом оценки, изучим его архитектуру и проектную документацию, проведем анализ компонентов и интервьюирование с действующими лицами – Разработчиком и Заявителем.
После сбора исходных данных проведем оценку соответствия, а в случае отсутствия документации осуществим ее разработку. В рамках оценки соответствия в обязательном порядке проведем тестирование на проникновение.
Но мы также можем провести оценку соответствия организации в части выполнения безопасной разработки в соответствии с требованиями
Профиля защиты (раздел 7.4). Данные работы были выполнены в 2022 году для крупного международного банка.
Результаты работы оформим в виде отчета об оценке соответствия.
После сбора исходных данных проведем оценку соответствия, а в случае отсутствия документации осуществим ее разработку. В рамках оценки соответствия в обязательном порядке проведем тестирование на проникновение.
Но мы также можем провести оценку соответствия организации в части выполнения безопасной разработки в соответствии с требованиями
Профиля защиты (раздел 7.4). Данные работы были выполнены в 2022 году для крупного международного банка.
Результаты работы оформим в виде отчета об оценке соответствия.