Контакты
Подписка 2024

Как соответствовать требованиям ЦБ РФ при защите мобильных приложений

Юрий Шабалин, 03/07/24

Увеличение количества утечек персональных данных клиентов финансовых организаций стало одной из главных негативных тенденций для России в последние годы. На этом фоне регуляторы ужесточают требования по информационной безопасности и вводят новые стандарты киберустойчивости для компаний.

Автор: Юрий Шабалин, генеральный директор “Стингрей Технолоджиз”, ведущий архитектор Swordfish Security

ris1-Jul-03-2024-11-16-17-4355-AM

Что такое профиль защиты Банка России?

Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях. Он призван обеспечить единую практику применения отраслевых нормативов при проведении анализа уязвимостей ПО для финансовых организаций.

Профиль защиты предусматривает два варианта оценки соответствия: требования оценочного уровня доверия (ОУД4) и функциональные требования безопасности, сформированные на основе компонентов из ГОСТ Р ИСО/МЭК 15408-3–2013.

В 2022 г. Банк России дополнил методический документ разделом 7.4. В нем изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения с соблюдением условий положений нормативных актов регулятора. Это значит, что компаниям больше не нужно проводить оценку на соответствие по ОУД4 при каждом обновлении приложения, а достаточно внедрить ИБ во все этапы разработки. Этот процесс должен включать в себя все возможные проверки на уязвимости.

При чем здесь мобильные приложения?

Под действие профиля защиты Банка России подпадает любое программное обеспечение, "которое используется для предоставления клиентам финансовых организаций сервисов и доступа к услугам дистанционного обслуживания". То есть требования методического документа касаются проверки безопасности мобильных продуктов. История показывает, что недостаточное внимание к их защите может привести к серьезным последствиям как для отдельных компаний, так и для банковской системы России в целом. Поэтому требования по безопасности для мобильной разработки должны выдвигаться на том же уровне, что и для серверной части системы.

Подходы к оценке соответствия профилю защиты

Профиль защиты Банка России предусматривает два варианта оценки соответствия по ОУД.

  1. Продуктовый путь. Компании, выбравшие такой подход, должны проходить сертификацию программного продукта в системе ФСТЭК России. В этом случае им необходимо разрабатывать несколько десятков документов на приложение, а также проводить анализ каждой новой версии ПО. Одной из основных проблем при проведении оценки соответствия на ОУД4 по ГОСТ Р ИСО/МЭК 15408-3–2013 – необходимость выполнения требований компонента доверия AVA_VAN.3 "Сосредоточенный анализ уязвимостей". Сложности связаны с поиском эксперта, а также качественного сканера кода, способного анализировать все языки программирования, на которых написаны приложения. Перед организацией встает дилемма: провести дорогое исследование в аккредитованных лабораториях или же более доступное с помощью лицензиатов ФСТЭК России. Каждый из этих вариантов имеет свои плюсы и минусы.
  2. Процессный подход. Этот вариант предполагает проведение анализа уязвимостей по требованиям к оценочному уровню доверия ОУД4, п. 7.6 ГОСТ Р ИСО/МЭК 15408-3–2013. В этом случае организация может самостоятельно интегрировать ИБ в процесс разработки всех компонентов системы, поскольку безопасная разработка уже предполагает анализ ПО на уязвимости. Однако консультация у лицензиатов ФСТЭК России все же потребуется, в том числе для сертификации процесса.

При выборе между процессным и продуктовым подходом следует учитывать частоту выпуска новых версий продукта и ряд других факторов. Однако в обоих случаях компаниям необходимы практикующие ИБ-эксперты и эффективные инструменты анализа защищенности.

Как эффективно тестировать мобильные приложения?

При тестировании программ на соответствие требованиям профиля защиты Банка России организации должны применять множество практик безопасности, таких как статический и динамический анализ кода, фаззинг и проверки на проникновение. В п. 7.4.3.8 методического документа ЦБ РФ указано, что помимо собственных экспертов по безопасности кода у компаний должны быть также инструментальные средства для тестирования защищенности. Это могут быть статические и динамические анализаторы, фаззеры, платформы интеграционного тестирования и другие решения. Чем больше практик способен охватывать один инструмент, тем он удобнее для организации. Во-первых, таким образом можно сэкономить, во-вторых – собирать результаты различных сканирований в одном месте.

На отечественном рынке уже есть решения, с помощью которых можно тестировать файлы сборки продукта и декомпилированный код, сканировать программу во время работы и отправлять подготовленные векторы атак в приложение (Applink/Deeplink, Activity, Content Providers. URL Scheme и т.д.). При ручном анализе это обычно это занимает несколько недель или даже месяцев лабораторных исследований с участием экспертов безопасности. Для сокращения трудозатрат и повышения эффективности можно воспользоваться автоматизированными инструментами анализа защищенности.

Темы:Банки и финансыБезопасная разработкаЖурнал "Информационная безопасность" №2, 2024

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...