О требованиях
В положениях Банка России № 719-П и № 757-П, а также № 683-П содержится требование проводить сертификацию в системе сертификации ФСТЭК или оценку соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 прикладного программного обеспечения автоматизированных систем и приложений финансовых организаций.
Выполнение вышеуказанных требований необходимо обеспечить в отношении такого программного обеспечения, как:
- интернет-банк;
- личный кабинет страхователя;
- личный кабинет на сайте брокера;
и пр.
Компания «Информзащита» оказывает услуги по оценке соответствия и анализу уязвимостей ПО по требованиям к оценочному уровню доверия 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 и методическим документом Банка России «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций».
Для подготовки предложения заполните нашу анкету. По вопросам стоимости и состава работ можете обращаться на почту uslugi@infosec.ru
Варианты оказания услуг
Оценка соответствия ПО требованиям ОУД
Услуга предполагает проведение оценки соответствия ПО требованиям ОУД 4 с учетом методического документа Банка России «Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» и предназначена для организаций, реализовавших требуемые Профилем защиты меры и заинтересованных только в подтверждении соответствия с подготовкой технического отчета и заключения об оценке.
Приведение ПО в соответствие требованиям ОУД
В рамках представленного варианта услуги предлагаются консультационные работы по приведению ПО в соответствие требованиям ОУД 4 с учетом Профиля защиты.
Услуга включает в себя:
- предварительное обследование и разработка рекомендаций по приведению в соответствие жизненного цикла ПО;
- подготовка к проведению оценки соответствия требованиям ОУД4;
- проведение анализа уязвимостей;
- итоговая оценка соответствия требованиям ОУД4.
Описание этапов
Предварительное обследование и разработка рекомендаций по приведению в соответствие жизненного цикла ПО
Этап включает в себя оценку жизненного цикла ПО и мер обеспечения безопасности сред разработки и тестирования. По результатам этапа Заказчик получает отчет предварительного обследования и рекомендации по повышению уровня соответствия.
Подготовка к проведению оценки соответствия требованиям ОУД 4
Этап включает в себя разработку документа «Задание по безопасности» для оцениваемого ПО и предоставление консультационных услуг по доработке/разработке комплекта проектной и эксплуатационной документации, требуемой ОУД. Основная нагрузка по доработке/разработке комплекта документации ложится на Заказчика.
Проведение анализа уязвимостей
Этап включает в себя:
- Комплексный анализ исходного кода, включая анализ на пригодность к оценке, контроль полноты и пр.;
- Оценка подготовительных процедур;
- Выборочное независимое тестирование;
- Усиленный методический анализ уязвимостей, включая анализ скрытых каналов и влияния обновлений на безопасность ОО.
Итоговая оценка соответствия требованиям ОУД4
Этап включает в себя оценку изменений, внесённых Заказчиком в процессы разработки, документацию ПО, исходные тексты, загрузочные модули ПО с момента проведения предыдущих этапов.