Анализ уязвимостей прикладного ПО АС и приложений по требованиям к ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013


  Академия Информационных систем предлагает услуги по анализу уязвимостей прикладного программного обеспечения АС и приложений для финансовых организаций, а также для организаций-разработчиков ПО.


Работы по анализу уязвимостей включают следующие этапы:

1.Оценка полноты предоставленной документации. При необходимости разработка и доработка документации, необходимой для тестирования с целью соответствия требованиям ГОСТ Р ИСО/МЭК 15408-3-2013;

2. Поиск информации в общедоступных источниках с целью идентификации потенциальных уязвимостей в объекте оценке (ОО). Поиск осуществляется в таких источниках как:


  • база данных уязвимостей в составе банка данных угроз безопасности информации ФСТЭК России (www.bdu.fstec.ru);
  • уведомления Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России («ФинЦЕРТ» Банка России);
  • уведомления, публикуемые центрами реагирования на компьютерные инциденты (например, уведомления CERT), платежными системами (например, уведомления платежной системы VISA), производителями технических и программных средств;
  • уведомления, публикуемые в общедоступных базах данных уязвимостей, а также распространяемые по подписке (например, www.cve.mitre.org);
  • сообщения об уязвимостях в ППО, направляемые сторонними специалистами в адрес организации БС Российской Федерации или публикуемые ими в общедоступных источниках.

3. Независимый методический анализ уязвимостей ОО с использованием документации, руководств, функциональной спецификации, проекта ОО, описания архитектуры безопасности и представления реализации, с целью идентифицикации потенциальных уязвимостей в ОО. Анализ включает выявление типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей. При этом выявлению подлежат уязвимости кода и уязвимости конфигурации ОО.

4. Тестирование на проникновение, основанное на идентифицированных уязвимостях, с целью формирования заключения о том, что ОО является стойким к нападениям, выполняемым нарушителем, обладающим высоким потенциалом нападения. При тестировании на проникновение исполнитель осуществляет поиск уязвимостей ОО, воспроизводя действия злоумышленника.

Результатами работ являются:

1. Протокол анализа уязвимостей.

2. Отчет о тестировании на проникновение.

3. Заключение по итогам анализа уязвимостей о подтверждении соответствия прикладного ПО системы требованиям к оценочному уровню доверия не ниже чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.

Срок оказания услуги  - от 60 рабочих дней.