Система ДБО компании BSS для корпоративных клиентов успешно прошла аудит на ОУД4
Анализ уязвимостей к оценочному уровню доверия не ниже 4 (ОУД4) — актуальная тема, связанная с требованиями Банка России. Основа — Положение Банка России № 683-П, которое вводит новые стандарты обеспечения защиты информации для субъектов банковской деятельности, оказывающих населению финансовые услуги, в том числе по переводу денежных средств в безналичной форме.
Основная цель — усилить безопасность переводов денежных средств и не допустить случаи переводов без согласия клиента. Само требование вступило в силу 1 января 2020 года, однако санкции за неисполнение начнут применяться с 1 июля 2021.
Эксперты BSS проанализировали методы проведения и компетенции сотрудников компаний, предлагающих аудит на ОУД4. К сожалению, объем работ, выполняемый этими компаниями, не полностью соответствует требованиям ГОСТ 15408-3-2013. К тому же он не соответствует требованиям проведения данного типа работ, особенно в части анализа исходного кода.
Выполнение анализа уязвимостей ОУД4 было доверено компании «БСС-Безопасность». Компетенции ее специалистов, методы и методология проведения данного типа проектов являются безукоризненно выверенными.
На первым этапе реализации проекта формируется план тестирования и проведения самих сертификационных испытаний. Далее готовится испытательный программно-аппаратный комплекс (стенд), повторяющий среду функционирования. Проводятся работы по тестированию на проникновение ПО из сети Интернет и из внутренней сети. На следующем этапе идет статический и динамический анализ исходного кода как ручным методом, так и с использование специализированных инструментов. В финале готовятся протоколы и отчетная документация.
Результат анализа уязвимостей ОУД4 — выявление и устранение разработчиком всех слабых мест в программном обеспечении, которые могут быть использованы злоумышленниками.
Прохождение процедуры анализа уязвимостей ОУД4 системой ДБО компании BSS для юридических лиц означает, что клиенты и партнеры BSS могут быть уверены — они используют безопасное программное обеспечение, соответствующее всем актуальным требованиям регулятора.
«Благодаря введению процедуры анализа защищенности по ОУД4 на постоянной основе, продукты компании BSS получили еще один эшелон защиты. Встроенные в процесс «Пентест приложения» и «Анализ исходного кода» изначально защищают от большинства известных уязвимостей выпускаемые продукты. Клиенты BSS получают большую уверенность в качестве и безопасности решений компании. Это особенно актуально в текущих реалиях активизации хакерских преступных группировок, осуществляющих целенаправленные атаки на банковскую отрасль», — прокомментировал директор департамента систем безопасности компании BSS Виктор Гулевич.
Компания BSS с 1994 года разрабатывает и внедряет системы ДБО и финансовые сервисы, развивает голосовые технологии, решения по информационной безопасности и аутстаффингу ИТ специалистов. Все программные продукты BSS разработаны на территории РФ, включены в Реестр российского ПО и зарегистрированы в Роспатенте.
Достижения компании признаны профессиональным сообществом: топ-3 рейтинга Business Internet Banking Rank 2019 и топ-5 рейтинга Business Internet Banking Rank 2018, топ-15 рейтинга «Крупнейшие поставщики ИТ для банков 2019» и топ-20 ведущих российских разработчиков ПО (2020). Решения компании широко применяются в банковской отрасли, госсекторе, электронной коммерции и других сферах.
