Журнал "Information Security/ Информационная безопасность" #2, 2024

Что такое профиль защиты Банка России? Профиль защиты прикладного про- граммного обеспечения – это методиче- ский документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях. Он призван обеспечить единую практику применения отраслевых нормативов при проведении анализа уязвимостей ПО для финансо- вых организаций. Профиль защиты предусматривает два варианта оценки соответствия: тре- бования оценочного уровня доверия (ОУД4) и функциональные требования безопасности, сформированные на осно- ве компонентов из ГОСТ Р ИСО/МЭК 15408-3–2013. В 2022 г. Банк России дополнил мето- дический документ разделом 7.4. В нем изложены требования к гибкой безопас- ной разработке и тестированию при- кладного программного обеспечения с соблюдением условий положений нор- мативных актов регулятора. Это значит, что компаниям больше не нужно прово- дить оценку на соответствие по ОУД4 при каждом обновлении приложения, а достаточно внедрить ИБ во все этапы разработки. Этот процесс должен вклю- чать в себя все возможные проверки на уязвимости. При чем здесь мобильные приложения? Под действие профиля защиты Банка России подпадает любое программное обеспечение, "которое используется для предоставления клиентам финансовых организаций сервисов и доступа к услу- гам дистанционного обслуживания". То есть требования методического доку- мента касаются проверки безопасности мобильных продуктов. История пока- зывает, что недостаточное внимание к их защите может привести к серьез- ным последствиям как для отдельных компаний, так и для банковской систе- мы России в целом. Поэтому требования по безопасности для мобильной разра- ботки должны выдвигаться на том же уровне, что и для серверной части системы. Подходы к оценке соответствия профилю защиты Профиль защиты Банка России пред- усматривает два варианта оценки соот- ветствия по ОУД. 1. Продуктовый путь. Компании, выбравшие такой подход, должны про- ходить сертификацию программного продукта в системе ФСТЭК России. В этом случае им необходимо разра- батывать несколько десятков докумен- тов на приложение, а также проводить анализ каждой новой версии ПО. Одной из основных проблем при проведении оценки соответствия на ОУД4 по ГОСТ Р ИСО/МЭК 15408-3–2013 – необходимость выполнения требований компонента доверия AVA_VAN.3 "Сосре- доточенный анализ уязвимостей". Сложности связаны с поиском эксперта, а также качественного сканера кода, способного анализировать все языки программирования, на которых напи- саны приложения. Перед организацией встает дилемма: провести дорогое исследование в аккредитованных лабо- раториях или же более доступное с помощью лицензиатов ФСТЭК Рос- сии. Каждый из этих вариантов имеет свои плюсы и минусы. 2. Процессный подход. Этот вариант предполагает проведение анализа уязви- мостей по требованиям к оценочному уровню доверия ОУД4, п. 7.6 ГОСТ Р ИСО/МЭК 15408-3–2013. В этом случае организация может самостоятельно интегрировать ИБ в процесс разработки всех компонентов системы, поскольку безопасная разработка уже предпола- гает анализ ПО на уязвимости. Однако консультация у лицензиатов ФСТЭК России все же потребуется, в том числе для сертификации процесса. При выборе между процессным и продуктовым подходом следует учи- тывать частоту выпуска новых версий продукта и ряд других факторов. Одна- ко в обоих случаях компаниям необхо- димы практикующие ИБ-эксперты и эффективные инструменты анализа защищенности. Как эффективно тестировать мобильные приложения? При тестировании программ на соот- ветствие требованиям профиля защиты Банка России организации должны применять множество практик безопас- ности, таких как статический и дина- мический анализ кода, фаззинг и про- верки на проникновение. В п. 7.4.3.8 методического документа ЦБ РФ ука- зано, что помимо собственных экспер- тов по безопасности кода у компаний должны быть также инструментальные средства для тестирования защищен- ности. Это могут быть статические и динамические анализаторы, фаззеры, платформы интеграционного тестиро- вания и другие решения. Чем больше практик способен охватывать один инструмент, тем он удобнее для орга- низации. Во-первых, таким образом можно сэкономить, во-вторых – соби- рать результаты различных сканиро- ваний в одном месте. На отечественном рынке уже есть решения, с помощью которых можно тестировать файлы сборки продукта и декомпилированный код, сканировать программу во время работы и отправлять подготовленные векторы атак в прило- жение (Applink/Deeplink, Activity, Content Providers. URL Scheme и т.д.). При ручном анализе это обычно это занимает несколько недель или даже месяцев лабораторных исследований с участием экспертов безопасности. Для сокраще- ния трудозатрат и повышения эффек- тивности можно воспользоваться авто- матизированными инструментами ана- лиза защищенности. l 70 • ТЕХНОЛОГИИ Как соответствовать требованиям ЦБ РФ при защите мобильных приложений величение количества утечек персональных данных клиентов финансовых организаций стало одной из главных негативных тенденций для России в последние годы. На этом фоне регуляторы ужесточают требования по информационной безопасности и вводят новые стандарты киберустойчивости для компаний. У Юрий Шабалин, генеральный директор “Стингрей Технолоджиз”, ведущий архитектор Swordfish Security Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Swordfish Security