УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг по ИБ и ИТ
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Автоматизация контроля состояния охранных систем (ИТСО)
    • Комплексные системы безопасности (КСБ)
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Efros Defence Operations
    • Защищенная система управления базами данных Jatoba
    • Efros Config Inspector
    • Система диспетчеризации ЦОД DATCHECK
    • ePlat4m КИИ
    • UDV DATAPK Industrial Kit
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
Продукты и услуги
  • 152-ФЗ
  • Центр кибербезопасности
  • УЦСБ SOC (центр мониторинга ИБ)
  • DevSecOps-решение Apsafe
  • CheckU
  • Identity Security
  • Импортозамещение
  • Проектирование АСУ
  • 187-ФЗ
  • Консалтинг ИБ
  • Сервисная поддержка
  • ИТ-услуги и продукты
  • Собственные продукты и разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • ИТ-аккредитация
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров «Мониторинг ИБ и требования Приказа № 117»
    • Серия вебинаров «Безопасная разработка (DevSecOps)»
    • Серия вебинаров «Системы управления учетными данными и доступом»
    • Серия вебинаров «Защита персональных данных и требования 152-ФЗ»
    • Серия вебинаров «Автоматизация ИБ»
    • Серия вебинаров «Анализ защищенности сети предприятия»
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Telegram
    • YouTube
    • Хабр
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • 152-ФЗ
    • Центр кибербезопасности
    • УЦСБ SOC (центр мониторинга ИБ)
    • DevSecOps-решение Apsafe
    • CheckU
    • Identity Security
    • Импортозамещение
    • Проектирование АСУ
    • 187-ФЗ
    • Консалтинг ИБ
    • Сервисная поддержка
    • ИТ-услуги и продукты
    • Собственные продукты и разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • ИТ-аккредитация
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • 152-ФЗ
      • Центр кибербезопасности
      • УЦСБ SOC (центр мониторинга ИБ)
      • DevSecOps-решение Apsafe
      • CheckU
      • Identity Security
      • Импортозамещение
      • Проектирование АСУ
      • 187-ФЗ
      • Консалтинг ИБ
      • Сервисная поддержка
      • ИТ-услуги и продукты
      • Собственные продукты и разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • ИТ-аккредитация
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг по ИБ и ИТ
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Автоматизация контроля состояния охранных систем (ИТСО)
            • Комплексные системы безопасности (КСБ)
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Efros Defence Operations
            • Защищенная система управления базами данных Jatoba
            • Efros Config Inspector
            • Система диспетчеризации ЦОД DATCHECK
            • ePlat4m КИИ
            • UDV DATAPK Industrial Kit
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • 152-ФЗ
          • Центр кибербезопасности
          • УЦСБ SOC (центр мониторинга ИБ)
          • DevSecOps-решение Apsafe
          • CheckU
          • Identity Security
          • Импортозамещение
          • Проектирование АСУ
          • 187-ФЗ
          • Консалтинг ИБ
          • Сервисная поддержка
          • ИТ-услуги и продукты
          • Собственные продукты и разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • ИТ-аккредитация
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров «Мониторинг ИБ и требования Приказа № 117»
            • Серия вебинаров «Безопасная разработка (DevSecOps)»
            • Серия вебинаров «Системы управления учетными данными и доступом»
            • Серия вебинаров «Защита персональных данных и требования 152-ФЗ»
            • Серия вебинаров «Автоматизация ИБ»
            • Серия вебинаров «Анализ защищенности сети предприятия»
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        • Главная
        • Пресс-центр
        • Истории успеха
        • Безопасный код в каждом релизе. Как регулярно выпускать защищенное ПО и соблюдать требования закона?

        Безопасный код в каждом релизе. Как регулярно выпускать защищенное ПО и соблюдать требования закона?

        9 июля 2026
        Истории успеха

        Создать функциональный финансовый продукт для клиентов и одновременно обеспечить высокий уровень его информационной безопасности (ИБ) — две задачи, между которыми часто балансируют банки. Чтобы не отставать от конкурентов, продукт нужно регулярно обновлять, но при этом безопасность должна быть встроена в разработку и не мешать выпускать обновленные версии вовремя.

        Ситуацию усложняют требования регуляторов, поскольку сбор данных и подготовка документов для подтверждения соответствия законодательным нормам часто занимают много времени и замедляют развитие продукта.

        Решить эти сложности помогает подключение к проекту ИТ-команд со своими инструментами анализа кода и богатым опытом внедрения практик безопасной разработки (DevSecOps) на всех этапах создания ПО. Так поступила команда разработки Банка Синара — для анализа защищенности своих финансовых сервисов и их оценки на соответствие требованиям ЦБ РФ она привлекла экспертов Центра кибербезопасности УЦСБ.

        Apsafe как инструмент анализа: основные преимущества

        Для анализа защищенности приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара использовали облачную платформу Apsafe — собственный продукт УЦСБ, который позволяет встроить процессы DevSecOps в уже существующую инфраструктуру разработки без ее изменений, а также обеспечить соответствие ПО требованиям закона. В экосистему Apsafe входят множество автоматизированных инструментов безопасной разработки, но результаты проверок верифицируются аналитиком вручную. Такой подход исключает наличие ложных срабатываний в итоговом анализе кода.

        В экосистему Apsafe входят множество автоматизированных инструментов безопасной разработки, но результаты проверок верифицируются аналитиком вручную. Такой подход исключает наличие ложных срабатываний в итоговом анализе кода.

        Автоматизация проверок безопасности: интеграция Apsafe без нарушения привычных процессов разработки 

        Apsafe встроили в уже существующий процесс разработки на базе GitLab, не ломая цикл релизов продукта. Проверка запускается автоматически в стандартном CI/СD-пайплайне Банка Синара и не требует ручных действий разработчиков, поэтому для них это просто еще один этап в привычной цепочке сборки и поставки кода. Разработка ведется в двух ветках: основной, из которой пользователи получают обновления продукта, и в ветке с новыми функциями.

        Через Apsafe проходят как новые изменения, так и релизы. Когда разработчики вносят в приложение очередные изменения, то они автоматически попадают в Apsafe, где проверяются на уязвимости и их возможное влияние на другие сервисы Банка Синара. Только после этого обновления переносятся в основную ветку и становятся частью рабочей версии продукта. 

        Взаимодействие команд: от обнаружения уязвимости до таск-трекера разработчиков 

          Первичную проверку уязвимостей проводит Appsec-специалист УЦСБ. Он анализирует срабатывания Apsafe, выбирает нужный фрагмент в коде, смотрит, почему сканер указал именно на эту строку, изучает потенциальную уязвимость и возможные точки ее эксплуатации.

          Затем специалист оформляет карточку уязвимости: объясняет суть проблемы и прописывает практический сценарий эксплуатации уязвимости. Далее он рекомендует, что нужно сделать, чтобы ее закрыть, и выставляет оценку по метрике CVSS. Она используется для приоритизации в Apsafe — наиболее критичные проблемы поднимаются выше в таск-трекере Заказчика, и разработчики видят их раньше.

          Взаимодействие команд строится через систему задач, доступ к которой есть не только у тимлидов, но и у рядовых разработчиков. Они могут задать экспертам УЦСБ вопросы по любой найденной уязвимости или рассказать про уже наложенные средства защиты и другие реализованные решения. Такая совместная работа повышает уровень зрелости ИБ Заказчика.  

        Оценка безопасности по ОУД4 с использованием Apsafe: два этапа анализа

        Наличие уязвимостей в любом продукте, связанном с финансовыми операциями, и его способность противостоять злоумышленнику с базовым потенциалом нападения подтверждаются соответствием требованиям ОУД 4 (оценочный уровень доверия четвертого уровня). Они сформулированы ЦБ РФ в документах 821-П, 851-П, 757-П.

        Для проведения таких работ необходимо, чтобы у исполнителя была действующая лицензия ФСТЭК России на деятельность по технической защите информации, предусмотренной подпунктами «б», «д» или «е» пункта 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства РФ №79».

        Банк Синара уже второй раз доверил оценку соответствия требованиям  ОУД 4 Центру кибербезопасности УЦСБ. Компетенции команды подтверждаются действующей лицензией ФСТЭК России и большим практическим опытом — Центр реализует более 200 проектов по безопасной разработке в год, а экспертиза УЦСБ в ИБ и ИТ насчитывает более 19 лет.

        Анализ на соответствие требованиям ОУД4 разделили на два этапа.

        Обследование объекта оценки — команда УЦСБ изучила документацию по приложениям и провела интервью с разработчиками и представителями ИБ-службы Заказчика, чтобы понять устройство продукта, реализацию в нем функций безопасности и порядок его развертывания и конфигурирования.

        Анализ уязвимостей с помощью Apsafe — на этом этапе использовались несколько инструментов из стека платформы:

        • SAST (Static Application Security Testing) — статический анализ кода, который позволяет находить дефекты в исходном коде продукта в момент его разработки;
        • SCA (Software Composition Analysis) — композиционный анализ состава ПО для обнаружения угроз в подключаемых компонентах и соблюдения политик использования открытого кода;
        • DAST (Dynamic Application Security Testing) — динамический анализ безопасности приложения. Он выявляет уязвимости методом «черного ящика» в работающем ПО, когда тестирование проводится без доступа к исходному коду. Похожим образом действуют злоумышленники.

        С помощью SAST и SCA проверили более двух миллионов строк кода. Также Apsafe использовался для сосредоточенного анализа уязвимостей по компоненту доверия AVA_VAN.3*, предусмотренному ГОСТ 15408-3-2013. Помимо этого, был проведен пентест, который моделирует реальные действия хакеров и помогает выявить слабые места в защите продукта.

        В результате этих работ эксперты УЦСБ подготовили для Банка Синара промежуточный отчет с перечнем уязвимостей, обязательных к устранению. После их закрытия Заказчик получил положительное заключение на соответствие финансовых сервисов Банка Синара требованиям ОУД4.

        *AVA_VAN — семейство требований к анализу уязвимостей в рамках международного стандарта «Общие критерии» (ГОСТ Р ИСО/МЭК 15408). 3 — это уровень глубины анализа. Максимальный уровень — 5.  

        Анализ микросервисного ландшафта: какие сложности он может вызвать

        Отдельной непростой задачей для команды УЦСБ стала работа с микросервисной архитектурой приложения. Один микросервис сам по себе не создает серьезных трудностей для анализа защищенности. Сложности возникают при анализе взаимодействия этих сервисов между собой, так как у каждого из них большое количество собственных сценариев работы.

        Дополнительные вызовы создавал масштаб архитектуры — множество строк кода, которые было необходимо проанализировать, и изменений, регулярно поступавших от нескольких команд разработки Банка Синара. Эти барьеры эксперты УЦСБ преодолели в ходе проекта, проверив более 200 микросервисов приложений. 

        Адаптация интерфейса под потребности Заказчика: расширенная аналитика и автоматизированная проверка исправленных уязвимостей

        Для эффективного и удобного использования платформы Apsafe, команда УЦСБ добавила новые метрики и настроила интерфейс для Заказчика, так чтобы ключевая информация была наглядно представлена.

        Добавлено отслеживание количества измененных строк кода — для прозрачного контроля объема работ в рамках договора, показатель вывели в наглядном виде в дефект-трекер. Метрику можно смотреть как за весь период использования Apsafe, так и за определенное время.

        Расширена аналитика по уязвимостям — настроили возможность отслеживания наиболее уязвимых сервисов и временной статистики, которая показывает, сколько новых уязвимостей возникает и закрывается, и как меняется баланс этих значений.

        Автоматизирована проверка исправления уязвимостей — Apsafe сравнивает список подтвержденных уязвимостей в прошлых версиях кода с текущими отчетами и отслеживает случаи, когда уязвимость была, а затем перестала детектироваться. Такие ситуации автоматически выделяются специальным статусом и передаются на разбор сотруднику, который проверяет, связано ли исчезновение с ошибкой или уязвимость действительно устранена разработчиками.

        Реализована новая «плоскость» персональной аналитики — можно объединять несколько сервисов в одно приложение и смотреть показатели уже на его уровне, а не по отдельным сервисам. В этом разрезе учитываются количество наиболее уязвимых сервисов, общий объем найденных и число подтвержденных уязвимостей.

        Итог: встроенные практики DevSecOps и подтвержденная безопасность продукта

        Благодаря совместной работе команд Центра кибербезопасности УЦСБ и Банка Синара практики DevSecOps были органично встроены в процесс обновления кода — от момента, когда разработчик вносит изменение, до его появления в продукте.

        Кроме того, важно отметить регуляторную часть проекта. Во время проверки приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара на соответствие требованиям ОУД4 Apsafe использовали как основной инструмент поиска уязвимостей. В результате этой работы Заказчик получил положительное заключение и успешно прошел проверку ЦБ РФ.

        Если компании необходимо регулярно выпускать обновления продукта и при этом обеспечить его безопасность, то Apsafe — оптимальный инструмент для решения этой задачи. Это собственное решение УЦСБ, с которым внедрение DevSecOps занимает не более 10 дней и будет выгоднее, чем найм одного AppSec-инженера и покупка инструментов анализа защищенности*

        *При подключении базового пакета. При подключении от двух приложений применяется прогрессивная модель скидок.

        Узнать больше про Apsafe и заказать пилот

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        152-ФЗ
        Центр кибербезопасности
        УЦСБ SOC (центр мониторинга ИБ)
        DevSecOps-решение Apsafe
        CheckU
        Identity Security
        Импортозамещение
        Проектирование АСУ
        187-ФЗ
        Консалтинг ИБ
        Сервисная поддержка
        ИТ-услуги и продукты
        Собственные продукты и разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        ИТ-аккредитация
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Telegram
        • YouTube
        • Хабр
        Политика конфиденциальности
        © 2026 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы