Банки и некредитные финансовые организации все чаще задаются вопросом, как провести анализ программного обеспечения в соответствии с требованиями ОУД4 ГОСТ Р 15408-3. С января этого года вступили в силу требования положений Банка России 683-П, 684-П и 382-П об анализе уязвимостей ПО финансовых организаций в соответствии с ОУД4. Интерпретация этих требований вызывает противоречия и многочисленные дискуссии у экспертов сообщества.
У Банка России есть официальные и неофициальные разъяснения по этому вопросу. Кулуарные обсуждения на отраслевых мероприятиях и в банковском сообществе заслуживают отдельного внимания: все участники рынка понимают сложность сложившейся ситуации и пытаются найти разумный компромисс между необходимым и достаточным. При этом финансовым организациям сложно разобраться с тонкостями выполнения требований регулятора. И как правило, опыт и помощь российских специалистов и консультантов здесь становятся эффективным решением.
Мы решили поделиться нашим видением ситуации и подготовили для безопасников цикл материалов, которые помогут ответить на вопросы: какое имеющееся ПО надо анализировать по ОУД4, как его анализировать и какими ресурсами?
С чего начать процесс анализа ПО?
В первом материале представляем пошаговую инструкцию: с чего начать процесс анализа ПО. Любая финансовая организация обладает обширным парком ПО и автоматизированных систем (АС). Так что же из этого парка подлежит анализу уязвимостей по ОУД4?
Для начала определяемся, какие операции проводятся в организации, и есть ли среди них те, о которых говорят 683/684-П и 382-П. Это банковские (переводы денежных средств, открытие счетов, генерация выписок и прочее, для банков) или другие финансовые операции, например, покупка страхового полиса, покупка/продажа активов на бирже, платежи за накопительную пенсию для некредитных финансовых организаций.
Затем следует просмотреть весь парк АС и отобрать те, которые участвуют в финансовых операциях. Список будет наверняка обширный, смотрим дальше.
Банки
Для банков, в первую очередь, следует отобрать автоматизированные системы, обеспечивающие денежные переводы (согласно п. 2.5.5.1 382-П). Конечно, это основная АБС. В ней под анализ попадает и javascript код веб-интерфейсов, и код хранимых процедур на PL-SQL, и исполняемый код модулей, и bash-скрипты и др., т. к. они обеспечивают проведение платежей.
Аналогично – системы ДБО, в том числе ПО API-интерфейсов. Эти же системы ДБО, в случае работы через интернет, должны попасть под анализ согласно 683-П.
Далее под анализ попадают мобильные приложения для банковских операций, которые банки размещают в магазинах приложений Google и Apple. Их следует подвергать анализу уязвимостей согласно 683-П. В эту же группу следует включить приложения “Банк-Клиент”, передаваемые клиентам юрлицам и ИП.
Некредитные финансовые организации (НФО)
Давайте теперь обратимся к крупным некредитным финансовым организациям. Будем говорить о них в терминах 684-П. Так как НФО в основном не являются операторами по переводу денежных средств (на языке 382-П), то основные учётные системы анализировать на уязвимости не требуется, а вот различные системы дистанционного обслуживания (вспомним, какие мы определили для себя финансовые операции) попадут под проверку согласно 684-П. Это сервисы управления активами клиентов на сайтах НФО, личные кабинеты, системы документооборота, приёма платежей за полисы или пенсии и др.
В список ПО попадут и мобильные приложения, размещённые в магазинах Google и Apple, которые НФО используют для финансовых операций и предоставления клиентам информации о своих активах. Если у НФО есть ПО, передаваемое клиентам напрямую, то его следует включить в последнюю группу ПО, которое придётся подвергнуть анализу на уязвимости. Это, к примеру, торговые терминалы брокеров и бирж или системы управления активами в управляющих компаниях.
Алгоритм действий кратко: