Специалисты «Инфосистемы Джет» провели анализ уязвимостей системы интернет-банка в Челябинвестбанке

В отношении системы дистанционного банковского обслуживания Челябинвестбанка Invest Pay проведён анализ уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4) в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013. Анализ проводился специалистами ИТ-компании «Инфосистемы Джет».

В ходе проекта был проведен статический и динамический анализ исходного кода системы Invest Pay для поиска потенциальных уязвимостей нулевого дня (0-day) интернет-банка, а также исследованы архитектурные особенности системы с целью исключения архитектурных и уже известных уязвимостей. 

Кроме этого, специалисты «Инфосистемы Джет» выполнили тестирование на проникновение (пентест) в отношении Invest Pay в условиях эксплуатации, идентичных реальным. Пентест проводился для того, чтобы верифицировать все потенциальные уязвимости, проверив возможность и вероятность их эксплуатации.

После анализа уязвимостей было сделано заключение о стойкости Invest Pay к атакам нарушителей в заданной ОУД 4 модели. Это значит, что система банка устойчива к атакам преступных групп, хакеров-физических лиц, недобросовестных работников банка.

По итогам анализа исходного кода и тестирования на проникновение были внесены изменения в исходный код InvestPay, в результате чего удалось повысить общую защищенность системы, а также выполнить требования Банка России в отношении безопасности прикладного платежного программного обеспечения (683-П и ГОСТ Р 51583-2014).

«Оценка безопасности прикладного банковского программного обеспечения в соответствии с методологией Общих критериев (ГОСТ Р ИСО/МЭК 15408) — новое направление регулирования в банковской отрасли, — отмечает Николай Антипов, руководитель департамента консалтинга центра информационной безопасности компании “Инфосистемы Джет”. — Реализация проектов по новым требованиям нормативно-правовых актов всегда сопряжена с определёнными сложностями, связанными с трактовкой тех или иных требований и отсутствием правоприменительной практики. Благодаря совместной работе с коллегами из Челябинвестбанка нам удалось разрешить все возникшие в ходе проекта вопросы и подтвердить соответствие системы ДБО требованиям Банка России. Для “Инфосистемы Джет” проект в Челябинвестбанке — не первый в данном направлении. Однако отличный опыт, полученный на этом проекте, мы уже активно используем в других проектах по оценке соответствия требованиям к прикладному ПО».

31 января, 2022

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.07.2024
Глобальный сбой загнал компьютеры на Windows в «вечную» перезагрузку
19.07.2024
CrowdStrike: Это не инцидент безопасности или кибератака
19.07.2024
«Верификация и идентификация абонентов — главная задача»
19.07.2024
«Т-Банк» приглашает сыграть в азартные игры с опасными людьми
19.07.2024
«Ростелеком» пополнился разработчиком госинформсистем
18.07.2024
Власти обяжут СМИ импортозаместить профильное ПО и ИБ-решения?
18.07.2024
Банкирам кратно увеличат штрафы за мисселинг уже в этом году
18.07.2024
Шакал против чёрных топоров: Интерпол обескровил африканских мошенников
18.07.2024
«Хорошие мальчики» позаботятся о физической безопасности ЦОДов
18.07.2024
ИБ-почте — ИИ-секретаря. Нейросеть расширила возможности «Протона»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных