Услуги для банковского сектора


Безопасность банковских систем

Компания «Эшелон» предлагает полный спектр услуг по обеспечению информационной безопасности банковских систем:

  • сертификация программного обеспечения в системе сертификации ФСТЭК России; 
  • анализ уязвимостей программного обеспечения;
  • тестирование на проникновение.

Сертификация ПО в системе сертификации ФСТЭК России

В соответствии с Положением Банка России от 9 июня 2012 года N 382-П для осуществления переводов денежных средств необходимо использовать программное обеспечение, успешно прошедшее испытания в системе сертификации ФСТЭК России.

АО «НПО «Эшелон» аккредитовано в качестве испытательной лаборатории и органа по сертификации ФСТЭК России. Работа наших экспертов нашла отражение уже более чем в 1000 сертификатов, выданных ведомством.

Накопленный опыт по проведению сертификационных испытаний, хорошее понимание специфики платежных систем позволяет гарантировать нашим заказчикам из банковского сектора высокий уровень сервиса и разумные сроки проектов.

Результатом услуги является соответствие программного обеспечения требованиям по безопасности информации, подтвержденное сертификатом ФСТЭК России.

Анализ уязвимостей программного обеспечения

Анализ уязвимостей программного обеспечения, используемого для осуществления переводов денежных средств, по требованиям к оценочному уровню доверия (ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408 является альтернативой процедуре сертификации в системе сертификации ФСТЭК России. Данный вид услуг может быть оказан только организацией, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 постановления Правительства Российской Федерации N 79.

АО «НПО «Эшелон» обладает данной лицензией, а также является российским центром компетенций по применению стандарта ГОСТ Р ИСО/МЭК 15408 («Общие критерии»).

Нашими экспертами может быть проведен анализ уязвимостей программного обеспечения как с исходным кодом, так и без него. АО «НПО «Эшелон» обладает уникальными технологиями анализа уязвимостей, нашедших свое воплощение в таких продуктах, как анализаторы кода AppChecker, «АК-ВС» и средство анализа защищенности «Сканер-ВС» .

Тестирование на проникновение

В соответствии с Положением Банка России от 9 июня 2012 года N 382-П также требуется ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Специалисты НПО «Эшелон» ежегодно проводят десятки проектов по тестированию защищенности, в том числе и для банковских организаций. Наша методика соответствует лучшим международным практикам, а также рекомендациям Банка России РС БР ИББС-2.6-2014. В ходе проектов применяются как инструменты, используемые реальными злоумышленниками, так и сертифицированные средства анализа защищенности, разработанные нашей компанией («Сканер-ВС», «Сканер-ВС Инспектор»).

Результатом проекта является отчет, содержащий описание подхода к тестированию на проникновение, перечень выявленных уязвимостей, сценарии их эксплуатации, а также детальные технические рекомендации по их устранению.