Услуги для банковского сектора


Безопасность банковских систем

Компания «Эшелон» предлагает полный спектр услуг по обеспечению информационной безопасности банковских систем:

  • сертификация программного обеспечения в системе сертификации ФСТЭК России; 
  • анализ уязвимостей программного обеспечения;
  • тестирование на проникновение;
  • проверка ПО для банковских операций и денежных переводов на соответствие требованиям безопасности.

Сертификация ПО в системе сертификации ФСТЭК России

В соответствии с Положением Банка России от 9 июня 2012 года N 382-П для осуществления переводов денежных средств и обработки транзакций одним из возможных вариантов является использование программного обеспечения, успешно прошедшего испытания в системе сертификации ФСТЭК России.

АО «НПО «Эшелон» аккредитовано в качестве испытательной лаборатории и органа по сертификации ФСТЭК России. Работа наших экспертов нашла отражение уже более чем в 1000 сертификатов, выданных ведомством.

Накопленный опыт по проведению сертификационных испытаний, хорошее понимание специфики платежных систем позволяет гарантировать нашим заказчикам из банковского сектора высокий уровень сервиса и разумные сроки проектов.

Результатом услуги является соответствие программного обеспечения требованиям по безопасности информации, подтвержденное сертификатом ФСТЭК России.

Сертификация в добровольных системах сертификации

В том случае, если изделие не применяется в объектах ключевой инфраструктуры, государственных информационных системах и обрабатывает персональные данные низких уровней защищённости, изделие может пройти оценку соответствия в системе добровольной сертификации Стандарты безопасности информации. Система сертификации Стандарты безопасности информации является официально зарегистрированной в РОССТАНДАРТе системой сертификации, и имеет необходимые для выполнения оценки соответствия в рамках ГОСТ Р ИСО/МЭК 15408-3-2013 и профилей защиты ЦБ РФ области распространения. 

Анализ уязвимостей программного обеспечения

Анализ уязвимостей программного обеспечения, используемого для осуществления переводов денежных средств, по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408, является альтернативой процедуре сертификации в системе сертификации ФСТЭК России. Данный вид услуг может быть оказан только организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 постановления Правительства Российской Федерации N 79.

АО «НПО «Эшелон» обладает данной лицензией, а также является российским центром компетенций по применению стандарта ГОСТ Р ИСО/МЭК 15408 («Общие критерии»).

Нашими экспертами может быть проведен анализ уязвимостей программного обеспечения как с исходным кодом, так и без него. АО «НПО «Эшелон» обладает уникальными технологиями анализа уязвимостей, нашедших свое воплощение в таких продуктах, как анализаторы кода AppChecker, «АК-ВС» и средство анализа защищенности «Сканер-ВС» .

Тестирование на проникновение

В соответствии с Положением Банка России от 9 июня 2012 года N 382-П также требуется ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Специалисты НПО «Эшелон» ежегодно проводят десятки проектов по тестированию защищенности, в том числе и для банковских организаций. Наша методика соответствует лучшим международным практикам, а также рекомендациям Банка России РС БР ИББС-2.6-2014. В ходе проектов применяются как инструменты, используемые реальными злоумышленниками, так и сертифицированные средства анализа защищенности, разработанные нашей компанией («Сканер-ВС», «Сканер-ВС Инспектор»).

Результатом проекта является отчет, содержащий описание подхода к тестированию на проникновение, перечень выявленных уязвимостей, сценарии их эксплуатации, а также детальные технические рекомендации по их устранению.