Заказчики: Банк Синара (ранее СКБ-банк) Екатеринбург; Финансовые услуги, инвестиции и аудит Подрядчики: Уральский центр систем безопасности (УЦСБ) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2023/09 — 2024/03
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
2024: Проверка защищенности ПО
УЦСБ выполнил проверку защищенности ПО инвестиционного сервиса Банка Синара. Об этом УЦСБ сообщил 16 апреля 2024 года.
Согласно Положению Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», кредитные организации должны обеспечить оценку программного обеспечения автоматизированных систем и приложений не ниже четвертого оценочного уровня доверия (ОУД4). Одним из эффективных способов обеспечить высокий уровень информационной безопасности является экспертный анализ защищенности ПО и оценка его соответствия требованиям регулирующих органов. Такие задачи решает Центр кибербезопасности УЦСБ, компания с 16-летним опытом в сфере информационной безопасности.
На первом этапе анализа ПО команда УЦСБ провела интервью с разработчиками сервиса и сотрудниками службы информационной безопасности Банка Синара. Это позволило определить точки входа в исследуемое программное обеспечение, провести оценку функций безопасности и процессов разработки. Далее эксперты центра приступили к оценке с целью установить наличие потенциальных уязвимостей — выполнили комплексный анализ защищенности, который включал как исследование исходного кода, так и тестирование на проникновение. Параллельно команда УЦСБ разрабатывала комплект документации на оцениваемое ПО. Завершением работ по проекту стала подготовка экспертного заключения на соответствие ОУД4.
![]() | Одной из особенностей проекта стала микросервисная архитектура ПО. Такой подход к разработке продукта позволяет гибко управлять архитектурой ПО, его функциональностью, совершать локальные обновления. Но для проведения анализа защищенности это приносит дополнительные сложности. Каждый сервис требует отдельного изучения, проверки свидетельств и протоколов. При оценке защищенности были выявлены некоторые нюансы безопасности ПО, влияющие на функционирование сервиса. Разработчики продукта оперативно устранили выявленные недостатки, — сказал Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ. | ![]() |
В результате проведенной оценки защищенности на соответствие ОУД4 программное обеспечение «Синара Инвестиции» подтвердило высокий уровень защищенности данных клиентов.
![]() | Благодаря сотрудничеству с УЦСБ мы получили комплексную оценку информационной защищенности нашего продукта и грамотное заключение на его соответствие ОУД4. Работы по проекту велись оперативно, заключение и документацию на ПО мы получили в срок – это позволило нам своевременно обеспечить регуляторные и бизнес-требования, и выпустить новый функциональный и защищенный сервис по инвестициям для клиентов, — отметил Денис Улейко, директор департамента информационной безопасности дирекции обеспечения безопасности Банка Синара. | ![]() |
Проведение аудита процессов разработки и оценки безопасности разрабатываемого программного обеспечения — одно из направлений Центра кибербезопасности УЦСБ. Экспертиза команды позволяет выполнять весь комплекс работ по анализу защищенности программных продуктов: выявлять угрозы безопасности и готовить рекомендации по их устранению, предоставлять заключения и документацию согласно всем требованиям регуляторов.