BLOG

382-П: Какое ПО тестировать на проникновение, а какое сертифицировать?

Updated: Sep 24, 2018

ЦБ в рамках 4793-У внес изменения в 382-П, где обязал банки

  • Использовать для осуществления переводов денежных средств прикладного программного обеспечения (ППО):

– сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контроля отсутствия НСД.

или

– в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013.

  • Тестировать на проникновение (APT) и анализ уязвимостей ИБ объекты информационной инфраструктуры (задействованной в платёжном процессе).

При этом указано, что для проведения анализа уязвимостей в ППО необходимо использовать «сертифицированного» вендора.

В самом указании написано очень запутанно. Самый внимательный читатель уже мог немного разобраться что к чему, прочитав короткое описание выше, откуда я убрал все лишние слова. Если остались хоть какие-то сомнения, давайте вместе разберемся. Далее вы найдете информацию о:

  • Двух разных типах объектов, указанные в указании

  • Определении переченя систем для тестирования

  • Критериях, когда нужно привлекать сертифицированную компанию

  • Сроках.

Стоит отметить, что разбор ниже построен на основе общения с сотрудниками ЦБ, самого указания и полученный от ЦБ ответ на запрос с просьбой пояснить положения указания.


В первую очередь следует выделить два разных типа объектов, о которых идет речь:

  1. ППО

  2. Объекты информационной инфраструктуры.

Это карйне важно, т.к. требования указания становятся очевидными, если понимать, что выше указанные два разных множества.



Давайте сначала разберемся в перечне систем, для которых необходимо выполнять указанные выше требования.


Требование о сертификации (или проведение анализа уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013) относиться к ППО. Требование о тестировании на проникновение и анализ уязвимостей относятся к объектам информационной инфраструктуры.

ЦБ в своем сообщении письменном ответе пишет, что нормы указания 4793-У должны распространяться на прикладное программное обеспечение (далее – ППО), используемое для осуществления переводов денежных средств и входящее в состав автоматизированных банковских систем и приложений, к которому относится все ППО, передаваемое клиентам для установки на его технических средствах для передачи распоряжений на перевод денежных средств, а также ПОО, и используемое операторами по переводу, операторами услуг платежной инфраструктуры денежных средств для приема от клиентов распоряжений на перевод денежных средств. Вопрос о лицензировании (или проведение анализа уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013) относится только с системам ДБО.


Тестированию на проникновение (APT) и анализ уязвимостей ИБ должны проводиться для всех объектов информационной инфраструктуры, задействованных в осуществлении переводов денежных средств.


Теперь давайте разберемся в том, для каких работ необходимо привлекать сертифицированные компании.

Если учесть, что мы теперь с вами разделяем ППО и объекты инфраструктуры, то все становится очевидно. Также вооружившись письмом-пояснением от ЦБ получается, что

  • Для сертификации (или проведение анализа уязвимостей по требованиям к оценочному уровню не ниже чем ОУД 4 в соответствие с ГОСТ Р 15408-3-2013) необходимо привлекать вендора с лицензией.

  • Для тестирования на проникновение (APT) и анализа уязвимостей ИБ можно привлекать вендора без лицензии или выполнять их самостоятельно.


Последнее – срок.

С лицензированием ППО очевидно из текста самого 4793-У – 01.01.2020.

С тестированием на проникновение (APT) и анализ уязвимостей ИБ менее понятно. Согласно письму-пояснению от ЦБ нужно выполнить подобное тестирование не позднее чем 30.06.2019.

Для обоих теребования проводить переоценку необходимо при модернизации объектов.

55 views

© 2019 by Information Security Hamsters community