Ранее мы узнали, как определить ПО для анализа по ОУД4 и какой комплект документов и исходного кода надо подготовить. Сегодня поговорим о том, с какими проблемами можно столкнуться во время подготовки к работе, и рассмотрим варианты, которые предлагает Банк России для обеспечения соответствия их требованиям.

Для определения подхода к проведению анализа уязвимостей предлагаем еще раз взглянуть на все ПО, используемое или планируемое к использованию в вашей организации. Прежде, следует разделить ПО на две категории: приобретенное с доработками или без у вендора и собственное, созданное под себя. При этом собственное ПО может быть разработано как in-house, так и с привлечением сторонних разработчиков.

 

ПО от вендора

Если вы используете ПО от вендора, следует обратиться к нему и запросить сертификат ФСТЭК или отчет о соответствии ОУД4. Необходимо понимать, что разработчик может и не иметь таких документов или запросить оплату соответствующих услуг по сертификации и анализу уязвимостей, а может и вовсе отказаться от сотрудничества. Даже если вы предложите вендору самостоятельно сделать анализ уязвимостей, он может не предоставить исходный код или документацию для его проведения. По этой причине рекомендуем как можно раньше начать переговоры с разработчиками приобретенного ПО.

 

Собственное ПО

Как мы уже подробно описывали в предыдущей статье, для подготовки к анализу любого ПО следует проверить его комплектность: есть ли задание по безопасности (часть ТЗ с указанием тех функций безопасности, которые нужно разработать), руководства администраторов и пользователей, подробные описания архитектуры, API, форматов сообщений, конфигурационных файлов и, самое главное, есть ли исходные коды. 

Если у вас нет документации или исходного кода на разработанное для вас сторонней командой ПО, следует их запросить. На будущее рекомендуем принять у себя практику заказа документации и проверки наличия актуального исходного кода при приемке работ. Для ПО, созданного силами внутренней разработки, готовить документацию или восстанавливать исходный код придется своими силами.

 

Разработка собственного ПО в будущем

Если вы задумываетесь о разработке собственного ПО в будущем, у вас есть отличный шанс заранее предусмотреть предстоящие возможные проблемы и избежать их. Наша практика показывает, что вопрос комплектности ПО стоит остро: утеря исходного кода и бедная документация встречаются очень часто, поэтому этот вопрос заслуживает пристального внимания.

Чтобы его решить, необходимо начать внедрять в организацию процессы, при которых обеспечивается не только наличие полного набора документации и сохранность исходного кода, но и в целом развивается культура разработки ПО. Говоря о культуре разработки, мы имеем в виду принципы Software Development Life Cycle (SDLC). Об этом поговорим в одной из следующих статей с привязкой к анализу уязвимостей по требованиям ОУД4.

 

Какие варианты предлагает Банк России

После того, как вы разобрались с комплектностью ПО, можно приступать непосредственно к анализу уязвимостей. Первый возможный путь, о котором говорит Банк России, связан с сертификацией во ФСТЭК: алгоритм действий относительно прост и давно известен. Он начинается с подачи заявки во ФСТЭК и выбора испытательной лаборатории из аккредитованных ФСТЭК. После проведения испытаний лаборатория обращается в так называемый орган по сертификации (утвержденный ФСТЭК список организаций), который проверяет результаты работ и направляет итоговый отчет во ФСТЭК для выпуска сертификата. 

Этот путь привычен, но имеет несколько существенных недостатков. Во-первых, длительные сроки сертификации - будьте готовы потратить 1-2 года. Во-вторых, согласно положению о системе сертификации средств защиты информации от 3 апреля 2018 г. №55, уже из названия понятно, что ФСТЭК занимается средствами защиты информации, а не прикладным ПО. Это значит, что у ФСТЭК не разработаны профили защиты для такого ПО. Приказом от 30 июля 2018 г. №131 ФСТЭК установил собственные уровни доверия, не совпадающие с ОУД из ГОСТ Р 15408. Поэтому, на наш взгляд, путь сертификации ПО во ФСТЭК для выполнения требований Банка России во многих случаях будет избыточным и сложно реализуемым.

В качестве второго пути Банк России предлагает провести анализ уязвимостей ПО на соответствие ОУД4. Для банков этот путь может быть осуществлен только посредством привлечения внешнего подрядчика, имеющего лицензию ФСТЭК России на услуги в области технической защиты конфиденциальной информации. Положение 683-П в текущей редакции не оставляет им другого выбора, тем не менее уже подготовлен проект изменений в Положение, в котором кредитным организациям разрешат проводить анализ самостоятельно. НФО уже сейчас могут воспользоваться как услугами подрядчика, так и своими собственными силами – 684-П предоставляет им такую возможность. Подробнее об этом мы поговорим в наших следующих материалах.

 

***

AKTIV.CONSULTING — одно из бизнес-подразделений российской компании “Актив”, специализирующееся на услугах по консалтингу и аудиту информационной безопасности. Команда обладает экспертизой в вопросах построения систем защиты информации, проведения аудита безопасности и анализа соответствия стандартам. 

17 августа, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.12.2023
Из магазинов ПО продолжают пропадать приложения российских банков
01.12.2023
RePlay теперь позволяет создавать рекомендательные end-to-end-системы
01.12.2023
Контроль индикаторов — важный этап мониторинга атак на подрядчиков
01.12.2023
«Сегодня ломают всех, даже компании в области безопасности»
30.11.2023
Эволюция кибератак, угроз и инцидентов неразрывно связана с геополитикой
30.11.2023
Тренд сменился: злоумышленники аккумулируют информацию для последующего использования
30.11.2023
Злоумышленники активно проникают в инфраструктуру заказчиков через подрядчиков
30.11.2023
Лукацкий: Мониторинг атак на подрядчиков — тема непростая и многосторонняя
30.11.2023
Компрометация систем удалённого управления при использовании услуг внешнего провайдера
30.11.2023
Компания должна знать своих подрядчиков и грамотно оценивать их степень критичности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных