Контакты
Подписка 2025

Как соответствовать требованиям ЦБ РФ при защите мобильных приложений

Юрий Шабалин, 03/07/24

Увеличение количества утечек персональных данных клиентов финансовых организаций стало одной из главных негативных тенденций для России в последние годы. На этом фоне регуляторы ужесточают требования по информационной безопасности и вводят новые стандарты киберустойчивости для компаний.

Автор: Юрий Шабалин, генеральный директор “Стингрей Технолоджиз”, ведущий архитектор Swordfish Security

ris1-Jul-03-2024-11-16-17-4355-AM

Что такое профиль защиты Банка России?

Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях. Он призван обеспечить единую практику применения отраслевых нормативов при проведении анализа уязвимостей ПО для финансовых организаций.

Профиль защиты предусматривает два варианта оценки соответствия: требования оценочного уровня доверия (ОУД4) и функциональные требования безопасности, сформированные на основе компонентов из ГОСТ Р ИСО/МЭК 15408-3–2013.

В 2022 г. Банк России дополнил методический документ разделом 7.4. В нем изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения с соблюдением условий положений нормативных актов регулятора. Это значит, что компаниям больше не нужно проводить оценку на соответствие по ОУД4 при каждом обновлении приложения, а достаточно внедрить ИБ во все этапы разработки. Этот процесс должен включать в себя все возможные проверки на уязвимости.

При чем здесь мобильные приложения?

Под действие профиля защиты Банка России подпадает любое программное обеспечение, "которое используется для предоставления клиентам финансовых организаций сервисов и доступа к услугам дистанционного обслуживания". То есть требования методического документа касаются проверки безопасности мобильных продуктов. История показывает, что недостаточное внимание к их защите может привести к серьезным последствиям как для отдельных компаний, так и для банковской системы России в целом. Поэтому требования по безопасности для мобильной разработки должны выдвигаться на том же уровне, что и для серверной части системы.

Подходы к оценке соответствия профилю защиты

Профиль защиты Банка России предусматривает два варианта оценки соответствия по ОУД.

  1. Продуктовый путь. Компании, выбравшие такой подход, должны проходить сертификацию программного продукта в системе ФСТЭК России. В этом случае им необходимо разрабатывать несколько десятков документов на приложение, а также проводить анализ каждой новой версии ПО. Одной из основных проблем при проведении оценки соответствия на ОУД4 по ГОСТ Р ИСО/МЭК 15408-3–2013 – необходимость выполнения требований компонента доверия AVA_VAN.3 "Сосредоточенный анализ уязвимостей". Сложности связаны с поиском эксперта, а также качественного сканера кода, способного анализировать все языки программирования, на которых написаны приложения. Перед организацией встает дилемма: провести дорогое исследование в аккредитованных лабораториях или же более доступное с помощью лицензиатов ФСТЭК России. Каждый из этих вариантов имеет свои плюсы и минусы.
  2. Процессный подход. Этот вариант предполагает проведение анализа уязвимостей по требованиям к оценочному уровню доверия ОУД4, п. 7.6 ГОСТ Р ИСО/МЭК 15408-3–2013. В этом случае организация может самостоятельно интегрировать ИБ в процесс разработки всех компонентов системы, поскольку безопасная разработка уже предполагает анализ ПО на уязвимости. Однако консультация у лицензиатов ФСТЭК России все же потребуется, в том числе для сертификации процесса.

При выборе между процессным и продуктовым подходом следует учитывать частоту выпуска новых версий продукта и ряд других факторов. Однако в обоих случаях компаниям необходимы практикующие ИБ-эксперты и эффективные инструменты анализа защищенности.

Как эффективно тестировать мобильные приложения?

При тестировании программ на соответствие требованиям профиля защиты Банка России организации должны применять множество практик безопасности, таких как статический и динамический анализ кода, фаззинг и проверки на проникновение. В п. 7.4.3.8 методического документа ЦБ РФ указано, что помимо собственных экспертов по безопасности кода у компаний должны быть также инструментальные средства для тестирования защищенности. Это могут быть статические и динамические анализаторы, фаззеры, платформы интеграционного тестирования и другие решения. Чем больше практик способен охватывать один инструмент, тем он удобнее для организации. Во-первых, таким образом можно сэкономить, во-вторых – собирать результаты различных сканирований в одном месте.

На отечественном рынке уже есть решения, с помощью которых можно тестировать файлы сборки продукта и декомпилированный код, сканировать программу во время работы и отправлять подготовленные векторы атак в приложение (Applink/Deeplink, Activity, Content Providers. URL Scheme и т.д.). При ручном анализе это обычно это занимает несколько недель или даже месяцев лабораторных исследований с участием экспертов безопасности. Для сокращения трудозатрат и повышения эффективности можно воспользоваться автоматизированными инструментами анализа защищенности.

Темы:Банки и финансыБезопасная разработкаЖурнал "Информационная безопасность" №2, 2024

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...