Оценка соответствия прикладного ПО
Положениями Банка России установлено обязательное требование оценки соответствия требованиям к ОУД4, определенном в ГОСТ Р ИСО/МЭК 15408-3-2013.
Оценку соответствия требованиям к ОУД4 необходимо проводить в отношении прикладного ПО автоматизированных систем и приложений, распространяемых клиентам для проведения финансовых операций (переводов денежных средств), а также ПО автоматизированных систем и приложений, используемых для приема информации о финансовых операциях (переводах денежных средств) от клиентов с использованием сети Интернет.
Например, в банках обязательной оценке подлежит прикладное ПО систем дистанционного банковского обслуживания.
Оценка соответствия проводится на основании ГОСТ Р ИСО/МЭК 18045-2013 и включает в себя следующие этапы:
- анализ документации на ПО, а именно:
- ASE Задание по безопасности;
- ADV_ARC.1 Описание архитектуры безопасности;
- ADV_FSP.4 Полная функциональная спецификация;
- AGD_OPE.1 Руководство пользователя по эксплуатации;
- ALC_DVS.1 Документация по безопасности разработки;
- проект объекта оценки
- анализ результатов выборочного независимого тестирования функций безопасности в отношении ПО;
- анализ уязвимостей исходного кода ПО согласно компоненту AVA_VAN.3 ОУД4.
По результатам оценки соответствия ОУД 4 готовится технический отчет об оценке ПО требованиям к ОУД4, где выставляется вердикт, соответствует ли ПО требованиям к ОУД4. При несоответствии наши эксперты формируют перечень рекомендаций.