Экспертиза

Ранее мы узнали, как определить ПО для анализа по ОУД4 и какой комплект документов и исходного кода надо подготовить. Сегодня поговорим о том, с какими проблемами можно столкнуться во время подготовки к работе, и рассмотрим варианты, которые предлагает Банк России для обеспечения соответствия их требованиям.

Тема анализа безопасности ПО очень обширна и не нова. Специалисты по защите информации, в первую очередь, обеспечивают защиту ПО, которое ее обрабатывает, и проводят много времени за выработкой оптимальных настроек, за поиском ошибок, за написанием инструкций по администрированию и т. д. Эксперты Aktiv Consulting поговорят о том, что необходимо подготовить для проведения анализа ПО.

Банки и некредитные финансовые организации все чаще задаются вопросом, как провести анализ программного обеспечения в соответствии с требованиями ОУД4 ГОСТ Р 15408-3. С января этого года вступили в силу требования положений Банка России 683-П, 684-П и 382-П об анализе уязвимостей ПО финансовых организаций в соответствии с ОУД4. Интерпретация этих требований вызывает противоречия и многочисленные дискуссии у экспертов сообщества. Своим мнением поделились Анастасия Харыбина, директор по развитию AKTIV.CONSULTING и Павел Семенов, консультант по информационной безопасности AKTIV.CONSULTING.