Академия информационных систем
Анализ уязвимостей прикладного ПО АС и приложений по требованиям к ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013
Академия Информационных систем предлагает услуги по анализу уязвимостей прикладного программного обеспечения АС и приложений для финансовых организаций, а также для организаций-разработчиков ПО.
Работы по анализу уязвимостей включают следующие этапы:
1.Оценка полноты предоставленной документации. При необходимости разработка и доработка документации, необходимой для тестирования с целью соответствия требованиям ГОСТ Р ИСО/МЭК 15408-3-2013;
2. Поиск информации в общедоступных источниках с целью идентификации потенциальных уязвимостей в объекте оценке (ОО). Поиск осуществляется в таких источниках как:
- база данных уязвимостей в составе банка данных угроз безопасности информации ФСТЭК России (www.bdu.fstec.ru);
- уведомления Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России («ФинЦЕРТ» Банка России);
- уведомления, публикуемые центрами реагирования на компьютерные инциденты (например, уведомления CERT), платежными системами (например, уведомления платежной системы VISA), производителями технических и программных средств;
- уведомления, публикуемые в общедоступных базах данных уязвимостей, а также распространяемые по подписке (например, www.cve.mitre.org);
- сообщения об уязвимостях в ППО, направляемые сторонними специалистами в адрес организации БС Российской Федерации или публикуемые ими в общедоступных источниках.
3. Независимый методический анализ уязвимостей ОО с использованием документации, руководств, функциональной спецификации, проекта ОО, описания архитектуры безопасности и представления реализации, с целью идентифицикации потенциальных уязвимостей в ОО. Анализ включает выявление типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей. При этом выявлению подлежат уязвимости кода и уязвимости конфигурации ОО.
4. Тестирование на проникновение, основанное на идентифицированных уязвимостях, с целью формирования заключения о том, что ОО является стойким к нападениям, выполняемым нарушителем, обладающим высоким потенциалом нападения. При тестировании на проникновение исполнитель осуществляет поиск уязвимостей ОО, воспроизводя действия злоумышленника.
Результатами работ являются:
1. Протокол анализа уязвимостей.
2. Отчет о тестировании на проникновение.
3. Заключение по итогам анализа уязвимостей о подтверждении соответствия прикладного ПО системы требованиям к оценочному уровню доверия не ниже чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013.
Срок оказания услуги - от 60 рабочих дней.