Оценка соответствия по требованиям к оценочному
уровню доверия не ниже чем ОУД 4
В соответствии с требованиями Банка России необходимо осуществлять оценку соответствия в отношении прикладного программного обеспечения применительно к оценочному уровню доверия не ниже чем ОУД 4, определенному внациональном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013.
Уровень доверия ОУД 4, определенный ГОСТ Р ИСО/МЭК 15408-3-2013 подразумевает достижение максимального доверия к прикладному программному обеспечению путем надлежащего проектирования его безопасности с последующей проверкой полученных результатов. Одним из требований уровня доверия ОУД 4 является необходимость проведения комплексного анализа уязвимостей в отношении прикладного программного обеспечения, который осуществляется в соответствии с требованиями стандартов ГОСТ ИСО/МЭК 18045-2013 и ГОСТ 58143-2018.
Нормативные документы, в соответствии с которыми проводятся указанные работы:
- ГОСТ Р 57580.1-2017. «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
- Положение Банка России от 04.06.2020 N 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
- Положение Банка России от 03.12.2020 N 742-П «О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой платформы».
- Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
- Положение Банка России от 20.04.2021 N 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Эти работы обязательны для следующих организаций:
- кредитные организации;
- некредитные финансовые организации;
- операторы по переводу денежных средств;
- операторы финансовой платформы;
- операторы услуг информационного обмена;
- банковские платежные агенты (субагенты);
- операторы услуг платежной инфраструктуры;
- организации, осуществляющие работы по созданию прикладного программного обеспечения.
Напишите нам, чтобы получить консультацию по вопросам оценки соответствия по ОУД 4, и мы свяжемся с вами в течение 30 мин.
Заполнить
ОБЩИЙ ПЛАН ПРОЕКТА
- 1 Этап
Изучение документации к объекту оценки, предварительное обследование, разработка рекомендаций по доработке руководств групп пользователей
- 2 Этап
Комплексное исследование объекта оценки, включающее в себя анализ уязвимостей, тестирование на проникновение, тестирование функций безопасности с последующей фиксацией полученных результатов
- 3 Этап
Контроль устранения выявленных уязвимостей
- 4 Этап
Подготовка комплекта внутренней документации, необходимого для успешного прохождения оценки соответствия по требованиям ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013 (может проводится параллельно с другими этапами)
РЕЗУЛЬТАТЫ ПРОЕКТА
По результатам оценки соответствия формируется комплект отчетной документации о соответствии требованиям к ОУД 4.
