Для повышения уровня информационной безопасности сайта и мобильного приложения «Синара Инвестиции», которые реализуют функционал для торговли на бирже, Банк Синара и Уральский центр систем безопасности провели оценку защищенности нового программного обеспечения.
Согласно Положению Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», кредитные организации должны обеспечить оценку программного обеспечения автоматизированных систем и приложений не ниже четвертого оценочного уровня доверия (ОУД4). Одним из эффективных способов обеспечить высокий уровень информационной безопасности является экспертный анализ защищенности ПО и оценка его соответствия требованиям регулирующих органов. Такие задачи решает Центр кибербезопасности УЦСБ, компания с 16-летним опытом в сфере информационной безопасности.
На первом этапе анализа ПО команда УЦСБ провела интервью с разработчиками сервиса и сотрудниками службы информационной безопасности банка. Это позволило определить точки входа в исследуемое программное обеспечение, провести оценку функций безопасности и процессов разработки. Далее эксперты центра приступили к оценке с целью установить наличие потенциальных уязвимостей. Они выполнили комплексный анализ защищенности, который включал как исследование исходного кода, так и тестирование на проникновение. Параллельно команда УЦСБ разрабатывала комплект документации на оцениваемое ПО. Завершением работ по проекту стала подготовка экспертного заключения на соответствие ОУД4.
«Одной из особенностей проекта стала микросервисная архитектура ПО. Такой подход к разработке продукта позволяет гибко управлять архитектурой ПО, его функциональностью, совершать локальные обновления. Но для проведения анализа защищенности это приносит дополнительные сложности. Каждый сервис требует отдельного изучения, проверки свидетельств и протоколов. При оценке защищенности были выявлены некоторые нюансы безопасности ПО, влияющие на функционирование сервиса. Разработчики продукта оперативно устранили выявленные недостатки», — комментирует Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ.
В результате проведенной оценки защищенности на соответствие ОУД4 программное обеспечение «Синара Инвестиции» подтвердило высокий уровень защищенности данных клиентов.
«Благодаря сотрудничеству с УЦСБ мы получили комплексную оценку информационной защищенности нашего продукта и грамотное заключение на его соответствие ОУД4. Работы по проекту велись оперативно, заключение и документацию на ПО мы получили в срок, это позволило нам своевременно обеспечить регуляторные и бизнес-требования, и выпустить новый функциональный и защищенный сервис по инвестициям для клиентов», — отметил Денис Улейко, директор департамента информационной безопасности дирекции обеспечения безопасности Банка Синара.
Проведение аудита процессов разработки и оценки безопасности разрабатываемого программного обеспечения — одно из направлений Центра кибербезопасности УЦСБ. Экспертиза команды позволяет выполнять весь комплекс работ по анализу защищенности программных продуктов: выявлять угрозы безопасности и готовить рекомендации по их устранению, предоставлять заключения и документацию согласно всем требованиям регуляторов.
О банке
АО Банк Синара — один из крупнейших региональных российских банков, в числе первых разрабатывает и внедряет инновационные для финансового рынка сервисы и решения. Входит в финансово-промышленный холдинг Группа Синара и является головной организацией банковской группы, в состав которой входят калужский Газэнергобанк, информационно-технологическая компания Синара Лаб, микрокредитная компания СБ-финанс. В периметре Банка Синара также развивается Делобанк — банк для предпринимателей, обеспечивающий полностью дистанционное управление финансами. Наряду с банковским бизнесом для розничных и корпоративных клиентов в группе активно развивается инвестиционное направление, которое работает под брендом Инвестиционный банк «Синара».
О компании
Центр кибербезопасности — объединение профильных компетенций Уральского центра систем безопасности (УЦСБ) по внедрению передовых практик и технологий для защиты критически важных систем от цифровых угроз.
По версии аналитических агентств CNews Analytics и TAdviser, УЦСБ входит в топ-100 крупнейших российских ИТ-компаний и в топ-15 крупнейших поставщиков решений для защиты информации. За 16 лет работы УЦСБ реализовал более 2000 проектов для государственных предприятий, компаний из банковского сектора, нефтегазовой, топливно-энергетической, машиностроительной и других отраслей промышленности.