О требованиях

В положениях Банка России № 719-П и № 757-П, а также № 683-П содержится требование проводить сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 прикладного программного обеспечения автоматизированных систем и приложений финансовых организаций.

Выполнение вышеуказанных требований необходимо обеспечить в отношении такого программного обеспечения, как:

  • интернет-банк;
  • личный кабинет страхователя;
  • личный кабинет на сайте брокера;

и пр.

Компания «Информзащита» оказывает услуги по оценке соответствия и анализу уязвимостей ПО по требованиям к оценочному уровню доверия 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 и методическим документом Банка России «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций».

Для подготовки предложения заполните нашу анкету. По вопросам стоимости и состава работ можете обращаться на почту uslugi@infosec.ru

Варианты оказания услуг

Оценка соответствия ПО требованиям ОУД

Услуга предполагает проведение оценки соответствия ПО требованиям ОУД 4 с учетом методического документа Банка России «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» и предназначена для организаций, реализовавших требуемые Профилем защиты меры и заинтересованных только в подтверждении соответствия с подготовкой технического отчета и заключения об оценке.

Приведение ПО в соответствие требованиям ОУД

В рамках представленного варианта услуги предлагаются консультационные работы по приведению ПО в соответствие требованиям ОУД 4 с учетом Профиля защиты.

Услуга включает в себя:

  • предварительное обследование и разработка рекомендаций по приведению в соответствие жизненного цикла ПО;
  • подготовка к проведению оценки соответствия требованиям ОУД4;
  • проведение анализа уязвимостей;
  • итоговая оценка соответствия требованиям ОУД4.

Описание этапов

Предварительное обследование и разработка рекомендаций по приведению в соответствие жизненного цикла ПО

Этап включает в себя оценку жизненного цикла ПО и мер обеспечения безопасности сред разработки и тестирования. По результатам этапа Заказчик получает отчет предварительного обследования и рекомендации по повышению уровня соответствия. 

Подготовка к проведению оценки соответствия требованиям ОУД 4

Этап включает в себя разработку документа «Задание по безопасности» для оцениваемого ПО и предоставление консультационных услуг по доработке/разработке комплекта проектной и эксплуатационной документации, требуемой ОУД. Основная нагрузка по доработке/разработке комплекта документации ложится на Заказчика.

Проведение анализа уязвимостей

Этап включает в себя:

  • Комплексный анализ исходного кода, включая анализ на пригодность к оценке, контроль полноты и пр.;
  • Оценка подготовительных процедур;
  • Выборочное независимое тестирование;
  • Усиленный методический анализ уязвимостей, включая анализ скрытых каналов и влияния обновлений на безопасность ОО.

Итоговая оценка соответствия требованиям ОУД4

Этап включает в себя оценку изменений, внесённых Заказчиком в процессы разработки, документацию ПО, исходные тексты, загрузочные модули ПО с момента проведения предыдущих этапов.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!