Для повышения уровня информационной безопасности сайта и мобильного приложения «Синара Инвестиции», которые реализуют функционал для торговли на бирже, Банк Синара и Уральский центр систем безопасности провели оценку защищенности нового программного обеспечения.
Согласно Положению Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», кредитные организации должны обеспечить оценку программного обеспечения автоматизированных систем и приложений не ниже четвертого оценочного уровня доверия (ОУД4). Одним из эффективных способов обеспечить высокий уровень информационной безопасности является экспертный анализ защищенности ПО и оценка его соответствия требованиям регулирующих органов. Такие задачи решает Центр кибербезопасности УЦСБ, компания с 16-летним опытом в сфере информационной безопасности.
На первом этапе анализа ПО команда УЦСБ провела интервью с разработчиками сервиса и сотрудниками службы информационной безопасности Банка Синара. Это позволило определить точки входа в исследуемое программное обеспечение, провести оценку функций безопасности и процессов разработки. Далее эксперты центра приступили к оценке с целью установить наличие потенциальных уязвимостей — выполнили комплексный анализ защищенности, который включал как исследование исходного кода, так и тестирование на проникновение. Параллельно команда УЦСБ разрабатывала комплект документации на оцениваемое ПО. Завершением работ по проекту стала подготовка экспертного заключения на соответствие ОУД4.
«Одной из особенностей проекта стала микросервисная архитектура ПО. Такой подход к разработке продукта позволяет гибко управлять архитектурой ПО, его функциональностью, совершать локальные обновления. Но для проведения анализа защищенности это приносит дополнительные сложности. Каждый сервис требует отдельного изучения, проверки свидетельств и протоколов. При оценке защищенности были выявлены некоторые нюансы безопасности ПО, влияющие на функционирование сервиса. Разработчики продукта оперативно устранили выявленные недостатки», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
В результате проведенной оценки защищенности на соответствие ОУД4 программное обеспечение «Синара Инвестиции» подтвердило высокий уровень защищенности данных клиентов.
«Благодаря сотрудничеству с УЦСБ мы получили комплексную оценку информационной защищенности нашего продукта и грамотное заключение на его соответствие ОУД4. Работы по проекту велись оперативно, заключение и документацию на ПО мы получили в срок – это позволило нам своевременно обеспечить регуляторные и бизнес-требования, и выпустить новый функциональный и защищенный сервис по инвестициям для клиентов», — отметил Денис Улейко, директор департамента информационной безопасности дирекции обеспечения безопасности Банка Синара.
Проведение аудита процессов разработки и оценки безопасности разрабатываемого программного обеспечения — одно из направлений Центра кибербезопасности УЦСБ. Экспертиза команды позволяет выполнять весь комплекс работ по анализу защищенности программных продуктов: выявлять угрозы безопасности и готовить рекомендации по их устранению, предоставлять заключения и документацию согласно всем требованиям регуляторов.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.