Требования проводить анализ уязвимостей ПО содержатся в следующих положениях Банка России:
- Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
- Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
- Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»ых финансовых операций»
Документами Банка России предусмотрено 2 варианта оценки уязвимостей:
- Сертификация программного продукта в системе сертификации ФСТЭК России;
- Проведение анализа уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4), пункт 7.6 ГОСТ Р ИСО/МЭК 15408-3-2013.
С сертификацией есть ряд нюансов:
- С 01.01.2020 вступили новые правилами сертификации, поэтому все старые сертификаты будут аннулированы;
- Сертифицировать можно только средство защиты;
- Сертификация в среднем занимает около года, и сертифицируется определенная сборка ПО.
Альтернативой является проведение анализа уязвимостей, и на самом деле именно этот вариант и является основным. В рамках анализа мы проведем следующую работу:
- изучить по открытым источникам, есть ли в компонентах ПО известные уязвимости;
- изучить документацию на программный продукт и его исходный код и попытаться на их основе выявить еще неизвестные уязвимости;
- для выявленных известных и неизвестных уязвимостей убедиться, что ими невозможно воспользоваться.
Если вы всё-таки готовы рассмотреть варианты сертификации программного обеспечения, то мы так же можем помочь подготовить необходимые документы.
Для банков есть так же услуга тестирования на проникновение, которое обязательно для с 2021 года.
Ответственность оператора системы кредитной организации:
До 50 000 рублей штраф, отзыв лицензии на осуществление банковских операций
Нарушение установленных Банком России нормативов и иных обязательных требований для кредитной организации
До 25 000 рублей штраф с конфискацией несертифицированных средств
Использование несертифицированных информационных систем, баз и банков данных, средств защиты информации, если они подлежат обязательной сертификации
До 15 000 рублей штраф
Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ