Оценка по ОУД4
Главная | Услуги
Оценка соответствия с учётом методического документа Банка России "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (2020 г.) может быть также проведена в отношении процесса разработки, а не в отношении продукции. Такой вариант может быть интересен финансовым организациям, имеющим собственные подразделения обеспечения безопасности разработки программного обеспечения (например, банкам из ТОП-1).

В качестве результатов оказания услуги по договорённости могут, помимо технического отчёта, разрабатываться и другие документы, в том числе, программа и методика испытаний, техническое заключение.
Оценка соответствия с учётом методического документа Банка России "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (2020 г.) может быть также проведена в отношении процесса разработки, а не в отношении продукции. Такой вариант может быть интересен финансовым организациям, имеющим собственные подразделения обеспечения безопасности разработки программного обеспечения (например, банкам из ТОП-1).

В качестве результатов оказания услуги по договорённости могут, помимо технического отчёта, разрабатываться и другие документы, в том числе, программа и методика испытаний, техническое заключение.
Оценка соответствия продукции требованиям ГОСТ Р ИСО/МЭК 15408 проводится компаниями для множества целей, таких как вывод на новые рынки или выполнение требований регуляторов
Основные задачи
Тестирование ПО на проникновение на предоставляемом Заявителем стенде
Анализ зависимостей ПО и среды его функционирования
Поиск слабостей и уязвимостей в исходном коде ПО
Верификация полученных результатов
Оценка соответствия
В России подавляющее большинство организаций, проводящих такую оценку соответствия, выполняют требования Банка России. При этом оценка соответствия продукции требованиям ГОСТ Р ИСО/МЭК 15408 проводится не в полном объёме:
В соответствии с положением Банка России от 20.04.2021 г. № 757-П
только в части оценки соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013.
В соответствии с положениями Банка России от 09.06.2012 г. № 382-П, от 17.04.2021 г. № 683-П
только в части анализа уязвимостей по требованиям к оценочному уровню доверия не ниже, чем ОУД 4 по ГОСТ Р ИСО/МЭК 15408-3-2013.
Получить подробную информацию о данной услуге
Нажимая кнопку «Отправить», Вы выражаете свое согласие на обработку персональных данных в соответствии с Политикой в отношении обработки персональных данных.
В общем случае, порядок оказываемых услуг следующий:
01
Заключение NDA
заключение соглашения о неразглашении конфиденциальной информации между Исполнителем и Заказчиком
02
Определение Заказчиком ответственного лица, непосредственно с которым будет осуществляться взаимодействие
ориентировочно - руководитель подразделения ИБ или иное лицо, имеющее аналогичную квалификацию
03
Получение предварительной информации об объекте оценки
изучение документов заявителя, предоставляемых Заказчиком
04
Формирование предложений по границам проведения оценки, форме проведения оценки
полноформатная оценка или частичная, например – анализ уязвимостей ПО в соответствии с требованиями Банка России) и срокам получения результатов оценки
05
Разработка и согласование Плана оказания услуги
по требованию Заказчика
06
Получение экземпляра объекта оценки/анализа уязвимостей
фиксация перечня полученных файлов, их контрольных сумм, версий
07
Проведение лабораторных исследований переданного экземпляра объекта оценки/анализа уязвимостей последовательно по шагам оценивания согласно ГОСТ Р ИСО/МЭК 18045-2013, ГОСТ 15408
08
Получение доступа (удалённого) к среде функционирования объекта оценки/анализа уязвимостей
предоставляемой Заказчиком, с развёрнутым объектом
09
Проведение исследований экземпляра объекта оценки/анализа уязвимостей в среде его функционирования
предоставленной Заказчиком
10
Разработка технического отчёта по результатам проведения оценки/анализа уязвимостей