0
Связаться с нами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Как анализ защищенности программного обеспечения помог Банку Синара выпустить надежный сервис по инвестициям
17.04.2024
Разработать функциональный ИТ-продукт для клиентов и сохранить высокий уровень информационной безопасности — сложная задача, которую приходится решать участникам банковской сферы. При этом требования к защите конфиденциальной информации сервисов, связанных с финансовыми операциями, регулируются не только требованиями бизнеса и лучшими практиками, но и на законодательном уровне и периодически дополняются. Согласно Положению Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», кредитные организации должны обеспечить оценку программного обеспечения автоматизированных систем и приложений не ниже четвертого оценочного уровня доверия (ОУД4).
Одним из эффективных способов обеспечить высокий уровень информационной безопасности является экспертный анализ защищенности ПО и оценка его соответствия требованиям регулятора. На примере проекта для АО Банк Синара рассказываем, как оценка безопасности помогает банкам в выпуске новых безопасных цифровых продуктов.
Какую задачу решали
Оценочный уровень доверия — это набор требований к защите информации программного обеспечения и процессам его разработки. ОУД показывает, насколько ПО реализует требования безопасности, описанные в ГОСТ Р ИСО/МЭК 15408.
Чтобы получить заключение о соответствии требованиям безопасности, банку необязательно обращаться во ФСТЭК России и проходить процедуру получения сертификата на отсутствие недекларируемых возможностей (обычно это долгий и трудозатратный процесс). Для оценки соответствия по ОУД4 можно воспользоваться услугами экспертной организации, у которой есть лицензия ФСТЭК России на право оказывать услуги по информационной безопасности.
Чтобы получить заключение о соответствии требованиям безопасности, банку необязательно обращаться во ФСТЭК России и проходить процедуру получения сертификата на отсутствие недекларируемых возможностей (обычно это долгий и трудозатратный процесс). Для оценки соответствия по ОУД4 можно воспользоваться услугами экспертной организации, у которой есть лицензия ФСТЭК России на право оказывать услуги по информационной безопасности.
Банк Синара разработал программное обеспечение «Синара Инвестиции» — современный цифровой продукт в виде web-версии и мобильного приложения для клиентов-физических лиц с полным функционалом для торговли на бирже. Банку необходимо было убедиться в его безопасности и соблюдении регуляторных требований, в том числе на соответствие ОУД4. Провести оценку защищенности ПО и сформировать необходимый пакет документов Банк Синара доверил Центру кибербезопасности УЦСБ, сертифицированному эксперту по ИБ.
АО Банк Синара — один из крупнейших региональных российских банков, в числе первых разрабатывает и внедряет инновационные для финансового рынка сервисы и решения. Входит в финансово-промышленный холдинг Группа Синара и является головной организацией банковской группы, в состав которой входят калужский Газэнергобанк, информационно-технологическая компания Синара Лаб, микрокредитная компания СБ-финанс*. В периметре Банка Синара также развивается Делобанк** — банк для предпринимателей, обеспечивающий полностью дистанционное управление финансами. Наряду с банковским бизнесом для розничных и корпоративных клиентов в группе активно развивается инвестиционное направление, которое работает под брендом Инвестиционный банк «Синара».
Что было сделано
В качестве первого этапа анализа ПО команда центра провела интервью с разработчиками сервиса и сотрудниками службы информационной безопасности Банка Синара. Это позволило определить точки входа в исследуемое программное обеспечение, провести оценку функций безопасности и процессов его разработки.
Далее эксперты центра приступили к оценке с целью установить наличие потенциальных уязвимостей — по сути, выполнили комплексный анализ защищенности, который включал как исследование исходного кода, так и тестирование на проникновение.
Далее эксперты центра приступили к оценке с целью установить наличие потенциальных уязвимостей — по сути, выполнили комплексный анализ защищенности, который включал как исследование исходного кода, так и тестирование на проникновение.
Одной из особенностей проекта стала микросервисная архитектура ПО. Такой подход к разработке продукта позволяет гибко управлять архитектурой ПО, его функциональностью, совершать локальные обновления.
Но для проведения анализа защищенности это приносит дополнительные сложности. Каждый сервис требует отдельного изучения, проверки свидетельств и протоколов.
Но для проведения анализа защищенности это приносит дополнительные сложности. Каждый сервис требует отдельного изучения, проверки свидетельств и протоколов.
Результаты проекта
Главным результатом проведенной оценки защищенности на соответствие ОУД4 стало то, что программное обеспечение «Синара Инвестиции» подтвердило высокий уровень защищенности данных пользователей и успешно прошло проверку ЦБ РФ — новый цифровой ресурс стал работать для клиентов Банка Синара.
«Благодаря сотрудничеству с УЦСБ мы получили комплексную оценку информационной защищенности нашего продукта и грамотное заключение на его соответствие ОУД4. Работы по проекту велись оперативно, заключение и документацию на ПО мы получили в срок – это позволило нам своевременно обеспечить регуляторные и бизнес-требования, и выпустить новый функциональный и защищенный сервис по инвестициям для клиентов. Благодарим команду УЦСБ за высокий уровень профессионализма, оперативное и качественное выполнение поставленных задач, внимательное отношение и проактивный подход».
Денис Улейко,
директор департамента информационной безопасности дирекции обеспечения безопасности Банка Синара
Денис Улейко,
директор департамента информационной безопасности дирекции обеспечения безопасности Банка Синара