Международные и российские стандарты информационной безопасности продукции
ЦБ РФ-комплайнс
Оценка соответствия продукции требованиям ГОСТ Р ИСО/МЭК 15408 (предъявляемым к функциям безопасности, а также к уровню доверия такой продукции) проводится компаниями для множества целей, таких как вывод на новые рынки или выполнение требований регуляторов.
Оценка соответствия с учётом методического документа Банка России "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (2020 г.) может быть также проведена в отношении процесса разработки, а не в отношении продукции. Такой вариант может быть интересен финансовым организациям, имеющим собственные подразделения обеспечения безопасности разработки программного обеспечения (например, банкам из ТОП-1).
В качестве результатов оказания услуги по договорённости могут, помимо технического отчёта, разрабатываться и другие документы, в том числе, программа и методика испытаний, техническое заключение.
Оценка соответствия
В России подавляющее большинство организаций, проводящих такую оценку соответствия, выполняют требования Банка России (положения Банка России от 09.06.2012 г. № 382-П, от 17.04.2021 г. № 683-П, от 20.04.2021 г. № 757-П). При этом оценка соответствия продукции требованиям ГОСТ Р ИСО/МЭК 15408 проводится не в полном объёме:
В соответствии с положением Банка России от 20.04.2021 г. № 757-П
– только в части оценки соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013.
В соответствии с положениями Банка России от 09.06.2012 г. № 382-П, от 17.04.2021 г. № 683-П
– только в части анализа уязвимостей по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013.
В общем случае, порядок оказываемых услуг следующий:
1
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком;
2
Определение Заказчиком ответственного лица, непосредственно с которым будет осуществляться взаимодействие
ориентировочно - руководитель подразделения ИБ или иное лицо, имеющее аналогичную квалификацию;
3
Получение предварительной информации об объекте оценки, изучение документов заявителя, предоставляемых Заказчиком
4
Формирование предложений по границам проведения оценки, форме проведения оценки
полноформатная оценка или частичная, например – анализ уязвимостей ПО в соответствии с требованиями Банка России) и срокам получения результатов оценки;
5
Разработка и согласование Плана оказания услуги
по требованию Заказчика;
6
Получение экземпляра объекта оценки/анализа уязвимостей, фиксация перечня полученных файлов, их контрольных сумм, версий
7
Проведение лабораторных исследований переданного экземпляра объекта оценки/анализа уязвимостей последовательно по шагам оценивания согласно ГОСТ Р ИСО/МЭК 18045-2013, ГОСТ 15408
8
Получение доступа (удалённого) к среде функционирования объекта оценки/анализа уязвимостей, предоставляемой Заказчиком, с развёрнутым объектом
9
Проведение исследований экземпляра объекта оценки/анализа уязвимостей в среде его функционирования, предоставленной Заказчиком
10
Разработка технического отчёта по результатам проведения оценки/анализа уязвимостей