Наша работа - Ваша уверенность
Банки . Проверка на соответствие норм безопасности кредитных организаций

Требования проводить анализ уязвимостей ПО содержатся в следующих положениях Банка России:

  • Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
  • Положение Банка России от 17 апреля 2019 г. № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
  • Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»ых финансовых операций»

Нужна консультация по этому вопросу? Звоните нам, мы поможем!





    Документами Банка России предусмотрено 2 варианта оценки уязвимостей:

    • Сертификация программного продукта в системе сертификации ФСТЭК России;
    • Проведение анализа уязвимостей по требованиям к оценочному уровню доверия 4 (ОУД 4), пункт 7.6 ГОСТ Р ИСО/МЭК 15408-3-2013.

    С сертификацией есть ряд нюансов:

    • С 01.01.2020 вступили новые правилами сертификации, поэтому все старые сертификаты будут аннулированы;
    • Сертифицировать можно только средство защиты;
    • Сертификация в среднем занимает около года, и сертифицируется определенная сборка ПО.

    Альтернативой является проведение анализа уязвимостей, и на самом деле именно этот вариант и является основным. В рамках анализа мы проведем следующую работу:

    • изучить по открытым источникам, есть ли в компонентах ПО известные уязвимости;
    • изучить документацию на программный продукт и его исходный код и попытаться на их основе выявить еще неизвестные уязвимости;
    • для выявленных известных и неизвестных уязвимостей убедиться, что ими невозможно воспользоваться.

    Если вы всё-таки готовы рассмотреть варианты сертификации программного обеспечения, то мы так же можем помочь подготовить необходимые документы.

    Для банков есть так же услуга тестирования на проникновение, которое обязательно для с 2021 года.

     

    Ответственность оператора системы кредитной организации:

    До 50 000 рублей штраф, отзыв лицензии на осуществление банковских операций

    Нарушение установленных Банком России нормативов и иных обязательных требований для кредитной организации

    До 25 000 рублей штраф с конфискацией несертифицированных средств

    Использование несертифицированных информационных систем, баз и банков данных, средств защиты информации, если они подлежат обязательной сертификации

    До 15 000 рублей штраф

    Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ

    Определите, необходимо ли делать оценку ПО на уязвимости по 382-П и 683-П

      Осуществляются ли переводы денежных средств?

      Осуществляются ли другие банковские операции?

      Обрабатывает ли ПО сообщения от клиентов?

      Оставьте свои контакты для уточнения деталей, и мы скажем вам резульат.

      Подпишитесь на получение новостей

      Чтобы первыми узнавать о наших новых решениях, событиях в мире информационных технологий и информационной безопасности, а так же получать персональные предложения именно для вас.

      Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

      Принять