Оценка соответствия по ОУД4
В соответствии с требованиями Банка России необходимо осуществлять анализ уязвимостей в отношении прикладного программного обеспечения применительно к оценочному уровню доверия не ниже чем ОУД 4, определенному в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013.
Уровень доверия ОУД 4, определенный ГОСТ Р ИСО/МЭК 15408-3-2013 подразумевает достижение максимального доверия к прикладному программному обеспечению путем надлежащего проектирования его безопасности с последующей проверкой полученных результатов. Одно из требований уровня доверия ОУД 4 – обязательное проведение сосредоточенного анализа уязвимостей в отношении прикладного программного обеспечения, который осуществляется в соответствии с требованиями стандартов ГОСТ ИСО/МЭК 18045-2013 и ГОСТ 58143-2018.
Нормативные документы, в соответствии с которыми проводятся указанные работы:
- ГОСТ Р 57580.1-2017. «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
- Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
- Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
- Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Эти работы обязательны для следующих организаций:
- кредитные организации;
- некредитные финансовые организации;
- операторы по переводу денежных средств;
- операторы услуг платежной инфраструктуры;
- организации, осуществляющие работы по созданию прикладного программного обеспечения.
Напишите нам, чтобы получить консультацию по вопросам оценки соответствия по ОУД4, и мы свяжемся с вами в течение 30 мин.
ЗаполнитьОБЩИЙ ПЛАН ПРОЕКТА
- 1 Этап
Изучение документации по объекту оценки в целях подтверждения её объективности и определения потенциально опасных уязвимостей в объекте оценки, описанных в общедоступных источниках.
- 2 Этап
Определение правильности развертывания объекта в среде тестирования в соответствии с прилагаемой к нему документацией, а также подтверждение его готовности к проведению работ по анализу уязвимостей.
- 3 Этап
Разработка тестов, необходимых для идентификации и анализа потенциальных уязвимостей, а также документации к ним.
- 4 Этап
Проведение тестирования на проникновение с последующей фиксацией полученных результатов.
РЕЗУЛЬТАТЫ ПРОЕКТА
Анализ результатов тестирования на проникновение с последующей подготовкой заключения и технического отчета оценки.