Как соответствовать требованиям ЦБ РФ при защите мобильных приложений

Увеличение количества утечек персональных данных клиентов финансовых организаций стало одной из главных негативных тенденций для России в последние годы. На этом фоне регуляторы ужесточают требования по информационной безопасности и вводят новые стандарты киберустойчивости для компаний.

Автор: Юрий Шабалин, генеральный директор “Стингрей Технолоджиз”, ведущий архитектор Swordfish Security

Что такое профиль защиты Банка России?

Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях. Он призван обеспечить единую практику применения отраслевых нормативов при проведении анализа уязвимостей ПО для финансовых организаций.

Профиль защиты предусматривает два варианта оценки соответствия: требования оценочного уровня доверия (ОУД4) и функциональные требования безопасности, сформированные на основе компонентов из ГОСТ Р ИСО/МЭК 15408-3–2013.

В 2022 г. Банк России дополнил методический документ разделом 7.4. В нем изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения с соблюдением условий положений нормативных актов регулятора. Это значит, что компаниям больше не нужно проводить оценку на соответствие по ОУД4 при каждом обновлении приложения, а достаточно внедрить ИБ во все этапы разработки. Этот процесс должен включать в себя все возможные проверки на уязвимости.

При чем здесь мобильные приложения?

Под действие профиля защиты Банка России подпадает любое программное обеспечение, "которое используется для предоставления клиентам финансовых организаций сервисов и доступа к услугам дистанционного обслуживания". То есть требования методического документа касаются проверки безопасности мобильных продуктов. История показывает, что недостаточное внимание к их защите может привести к серьезным последствиям как для отдельных компаний, так и для банковской системы России в целом. Поэтому требования по безопасности для мобильной разработки должны выдвигаться на том же уровне, что и для серверной части системы.

Подходы к оценке соответствия профилю защиты

Профиль защиты Банка России предусматривает два варианта оценки соответствия по ОУД.

1. Продуктовый путь. Компании, выбравшие такой подход, должны проходить сертификацию программного продукта в системе ФСТЭК России. В этом случае им необходимо разрабатывать несколько десятков документов на приложение, а также проводить анализ каждой новой версии ПО. Одной из основных проблем при проведении оценки соответствия на ОУД4 по ГОСТ Р ИСО/МЭК 15408-3–2013 – необходимость выполнения требований компонента доверия AVA_VAN.3 "Сосредоточенный анализ уязвимостей". Сложности связаны с поиском эксперта, а также качественного сканера кода, способного анализировать все языки программирования, на которых написаны приложения. Перед организацией встает дилемма: провести дорогое исследование в аккредитованных лабораториях или же более доступное с помощью лицензиатов ФСТЭК России. Каждый из этих вариантов имеет свои плюсы и минусы.
2. Процессный подход. Этот вариант предполагает проведение анализа уязвимостей по требованиям к оценочному уровню доверия ОУД4, п. 7.6 ГОСТ Р ИСО/МЭК 15408-3–2013. В этом случае организация может самостоятельно интегрировать ИБ в процесс разработки всех компонентов системы, поскольку безопасная разработка уже предполагает анализ ПО на уязвимости. Однако консультация у лицензиатов ФСТЭК России все же потребуется, в том числе для сертификации процесса.

При выборе между процессным и продуктовым подходом следует учитывать частоту выпуска новых версий продукта и ряд других факторов. Однако в обоих случаях компаниям необходимы практикующие ИБ-эксперты и эффективные инструменты анализа защищенности.

Как эффективно тестировать мобильные приложения?

При тестировании программ на соответствие требованиям профиля защиты Банка России организации должны применять множество практик безопасности, таких как статический и динамический анализ кода, фаззинг и проверки на проникновение. В п. 7.4.3.8 методического документа ЦБ РФ указано, что помимо собственных экспертов по безопасности кода у компаний должны быть также инструментальные средства для тестирования защищенности. Это могут быть статические и динамические анализаторы, фаззеры, платформы интеграционного тестирования и другие решения. Чем больше практик способен охватывать один инструмент, тем он удобнее для организации. Во-первых, таким образом можно сэкономить, во-вторых – собирать результаты различных сканирований в одном месте.

На отечественном рынке уже есть решения, с помощью которых можно тестировать файлы сборки продукта и декомпилированный код, сканировать программу во время работы и отправлять подготовленные векторы атак в приложение (Applink/Deeplink, Activity, Content Providers. URL Scheme и т.д.). При ручном анализе это обычно это занимает несколько недель или даже месяцев лабораторных исследований с участием экспертов безопасности. Для сокращения трудозатрат и повышения эффективности можно воспользоваться автоматизированными инструментами анализа защищенности.