Банки в России обяжут проводить ежегодные пентесты своего ПО
03.05.2017
Банк России разработал проект указания о внесении изменений в Положение "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
Согласно документу, операторы по переводу денежных средств будут обязаны использовать ПО, сертифицированное на соответствие требованиям по безопасности информации. То есть, банки и платежные системы смогут использовать только программы, прошедшие проверку на наличие уязвимостей и недекларированных возможностей в соответствии с требованиями Федеральной службы по техническому и экспортному контролю или требованиями к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с ГОСТ Р ИСО/МЭК 15408-3-2013.
Анализ уязвимостей в ПО должны проводить организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации. Тестирование на проникновение и анализ уязвимостей должно проводиться ежегодно. Указание вступает в силу с 1 июля 2018 года.
По словам ведущего консультанта по информационной безопасности компании "Инфосистемы Джет" Павла Новожилова, в настоящее время разработчики ПО больше уделяют внимания функционалу и удобству работы со своим продуктом, чем его защищенности. Тем не менее, в дальнейшем уровень защищенности связанного с денежными переводами ПО будет повышаться.
"Результаты таких тестов помогут выявить и устранить основные проблемы в области информационной безопасности. На мой взгляд, данное требование должно было появиться намного раньше, - в международном стандарте PCI DSS оно существует уже более 10 лет. Однако отсутствует информация о методологии проведения тестов на проникновение. И именно из-за ее отсутствия могут возникнуть сложности при реализации данного требования",- отметил эксперт.
