BLOG

382-П: Какое ПО тестировать на проникновение, а какое сертифицировать?

Updated: Sep 24, 2018

ЦБ в рамках 4793-У внес изменения в 382-П, где обязал банки

  • Использовать для осуществления переводов денежных средств прикладного программного обеспечения (ППО):

– сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контроля отсутствия НСД.

или

– в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013.

  • Тестировать на проникновение (APT) и анализ уязвимостей ИБ объекты информационной инфраструктуры (задействованной в платёжном процессе).

При этом указано, что для проведения анализа уязвимостей в ППО необходимо использовать «сертифицированного» вендора.

В самом указании написано очень запутанно. Самый внимательный читатель уже мог немного разобраться что к чему, прочитав короткое описание выше, откуда я убрал все лишние слова. Если остались хоть какие-то сомнения, давайте вместе разберемся. Далее вы найдете информацию о:

  • Двух разных типах объектов, указанные в указании

  • Определении переченя систем для тестирования

  • Критериях, когда нужно привлекать сертифицированную компанию

  • Сроках.

Стоит отметить, что разбор ниже построен на основе общения с сотрудниками ЦБ, самого указания и полученный от ЦБ ответ на запрос с просьбой пояснить положения указания.


В первую очередь следует выделить два разных типа объектов, о которых идет речь:

  1. ППО

  2. Объекты информационной инфраструктуры.

Это карйне важно, т.к. требования указания становятся очевидными, если понимать, что выше указанные два разных множества.



Давайте сначала разберемся в перечне систем, для которых необходимо выполнять указанные выше требования.


Требование о сертификации (или проведение анализа уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013) относиться к ППО. Требование о тестировании на проникновение и анализ уязвимостей относятся к объектам информационной инфраструктуры.

ЦБ в своем сообщении письменном ответе пишет, что нормы указания 4793-У должны распространяться на прикладное программное обеспечение (далее – ППО), используемое для осуществления переводов денежных средств и входящее в состав автоматизированных банковских систем и приложений, к которому относится все ППО, передаваемое клиентам для установки на его технических средствах для передачи распоряжений на перевод денежных средств, а также ПОО, и используемое операторами по переводу, операторами услуг платежной инфраструктуры денежных средств для приема от клиентов распоряжений на перевод денежных средств. Вопрос о лицензировании (или проведение анализа уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013) относится только с системам ДБО.


Тестированию на проникновение (APT) и анализ уязвимостей ИБ должны проводиться для всех объектов информационной инфраструктуры, задействованных в осуществлении переводов денежных средств.


Теперь давайте разберемся в том, для каких работ необходимо привлекать сертифицированные компании.

Если учесть, что мы теперь с вами разделяем ППО и объекты инфраструктуры, то все становится очевидно. Также вооружившись письмом-пояснением от ЦБ получается, что

  • Для сертификации (или проведение анализа уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013) необходимо привлекать вендора с лицензией.

  • Для тестирования на проникновение (APT) и анализа уязвимостей ИБ можно привлекать вендора без лицензии или выполнять их самостоятельно.


Последнее – срок.

С лицензированием ППО очевидно из текста самого 4793-У – 01.01.2020.

С тестированием на проникновение (APT) и анализ уязвимостей ИБ менее понятно. Согласно письму-пояснению от ЦБ нужно выполнить подобное тестирование не позднее чем 30.06.2019.

Для обоих теребования проводить переоценку необходимо при модернизации объектов.

55 views

Recent Posts

See All

Мероприятия по ИБ 2019

Перевел презентацию Лукацкого с мероприятиями по ИБ в 2019 году в Excel формат. Скачать Оригинальный источник - https://lukatsky.blogspot.com/2019/01/2019.html

Перевод пункта 3.2 из проекта указания о противодействии перевода средств без согласия клиента

Центральный банк сделал доступным проект указания о противодействии переводу денежных средств без согласия клиента. Большая часть положения относится к функции анти-фрод (AFC). Только пункт 3.2 попада

© 2019 by Information Security Hamsters community