Компания «Диасофт» разработала средства защиты информации для цифровых платформ – Diasoft FA# Beans и FLEXTERA – и подала их на сертификацию во ФСТЭК России. По итогам процедуры сертификации «Диасофт» сможет предложить банкам полный перечень продуктов, на которые распространяются новые требования законодательства. Так, компания обеспечит выполнение банками требований ЦБ РФ по сертификации программного обеспечения, вступающих в силу с 2020 и 2021 года.
Рынок активно готовится к изменениям, связанным с требованиями Банка России 382-П (см. пункт 1.2. на сайте ЦБ РФ), 683-П и ГОСТ Р 57580.1-2017, в частности ЖЦ-8. Согласно указаниям регулятора, с 1 января 2020 года банки должны использовать прикладное программное обеспечение, сертифицированное во ФСТЭК России, или провести анализ уязвимостей по требованиям к оценочному уровню доверия не ниже, чем ОУД 4. При этом требуется сформулировать задание по безопасности на базе утвержденного профиля защиты, разработанного ЦБ РФ.
«Диасофт», как эксперт в области финансового законодательства, занимает активную позицию в процессе подготовки клиентов к новым требованиям. Компания уже заключила договор с лабораторией ФСТЭК России и реализовала ряд этапов процесса сертификации средств защиты информации для своих цифровых платформ.
Алексей Полетаев, директор по информационной безопасности компании «Диасофт»: «Хотим обратить внимание банковского сообщества, что для успешного прохождения процедуры сертификации по требованию ФСТЭК России в соответствии с Положением о системе сертификации средств защиты информации, утвержденным Приказом ФСТЭК России от 03.04.2018 N 55, необходимо сначала разработать средство защиты информации со встроенными механизмами защиты. Только после этого в объект испытаний можно включать прикладное программное обеспечение и проводить его проверку на отсутствие уязвимостей в коде. Требуется пройти много сложных этапов сертификации, но, по истечении 10 месяцев, наши продукты будут полностью готовы к внедрению в банках».
Отметим, что сертифицированные средства защиты информации для цифровых платформ «Диасофт» и прикладное программное обеспечение будут поставляться и поддерживаться отдельно, в виде сертифицированной линейки.
Примечания
Указание Банка России от 7 мая 2018 г. № 4793-У «О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П»:
1.2. Пункт 2.5 дополнить подпунктом 2.5.5.1 следующего содержания: 2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить: использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013;
ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Указания вступают в силу с 1 января 2020 года.
ГОСТ Р 57580.1-2017, в частности ЖЦ-8 (таблицы 53 – базовый состав мер защиты информации):
«Применение прикладного ПО АС. сертифированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или 8 отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 8 соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3».