Специалисты «Инфосистемы Джет» провели анализ уязвимостей системы интернет-банка в Челябинвестбанке

В отношении системы дистанционного банковского обслуживания Челябинвестбанка Invest Pay проведён анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами ИТ-компании «Инфосистемы Джет».

В ходе проекта был проведен статический и динамический анализ исходного кода системы Invest Pay для поиска потенциальных уязвимостей нулевого дня (0-day) интернет-банка, а также исследованы архитектурные особенности системы с целью исключения архитектурных и уже известных уязвимостей. 

Кроме этого, специалисты «Инфосистемы Джет» выполнили тестирование на проникновение (пентест) в отношении Invest Pay в условиях эксплуатации, идентичных реальным. Пентест проводился для того, чтобы верифицировать все потенциальные уязвимости, проверив возможность и вероятность их эксплуатации.

После анализа уязвимостей было сделано заключение о стойкости Invest Pay к атакам нарушителей в заданной ОУД 4 модели. Это значит, что система банка устойчива к атакам преступных групп, хакеров-физических лиц, недобросовестных работников банка.

По итогам анализа исходного кода и тестирования на проникновение были внесены изменения в исходный код InvestPay, в результате чего удалось повысить общую защищенность системы, а также выполнить требования Банка России в отношении безопасности прикладного платежного программного обеспечения (683-П и ГОСТ Р 51583-2014).

«Оценка безопасности прикладного банковского программного обеспечения в соответствии с методологией Общих критериев (ГОСТ Р ИСО/МЭК 15408) — новое направление регулирования в банковской отрасли, — отмечает Николай Антипов, руководитель департамента консалтинга центра информационной безопасности компании “Инфосистемы Джет”. — Реализация проектов по новым требованиям нормативно-правовых актов всегда сопряжена с определёнными сложностями, связанными с трактовкой тех или иных требований и отсутствием правоприменительной практики. Благодаря совместной работе с коллегами из Челябинвестбанка нам удалось разрешить все возникшие в ходе проекта вопросы и подтвердить соответствие системы ДБО требованиям Банка России. Для “Инфосистемы Джет” проект в Челябинвестбанке — не первый в данном направлении. Однако отличный опыт, полученный на этом проекте, мы уже активно используем в других проектах по оценке соответствия требованиям к прикладному ПО».

31 января, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных